基于双栈服务的启发式测绘

时间:2023-01-01 13:04:22

基于地址生成特征的启发式测绘

如前所述,IPv6 地址分布存在一些特点,比如部分地址位随机、MAC地址嵌入等,我们可以利用 这些分布特性,加入一些测绘范围或限制条件,来降低 IPv6 地址测绘地址空间。 接下来我们用以下方法进行测绘测试,数据源来自于开源的 Hitlist 中存活的 IPv6 地址集合 1。

  1. 1. 低位和部分位随机地址测绘 低位 IPv6 地址测绘和 IPv4 的测绘类似,除了地址的后几个字节,其他位均为 0,所以只需测绘对 应的地址段就可以发现这些地址。 如果地址随机位不在末端的部分位随机的 IPv6 地址,Scan6 可以使用十六进制的区间来表示要测绘! 1 我们使用的是开源的 IPv6 扫描插件 Scan6[38],Scan6 是 IPv6 地址扫描的工具,它是 SI6 Networks IPv6 工具包的一部分,包括了一 些高级 IPv6 地址扫描方法。 的地址范围,实现的效果只遍历指定地址位,其它地址位不变。对应命令:scan6 -i eth0 -d ****:983:0- 3000::1,其中 0-3000(16 进制)指的只测绘遍历范围所在位,12,288 个地址测绘,共用了约 1 分钟完成, 发现 3,853 个存活的 IPv6 地址,见图 2.13 。 图 2.13 部分地址位随机的地址测绘
  2. 2. 内嵌 MAC的地址测绘 MAC地址由两部分组成,前 24 位是厂商的 ID,由美国电气和电子工程师协会(IEEE)唯一分配, 后 24 位厂商的扩展 ID由厂商自己编制,组合产生全球唯一的 48 位 MAC地址(也称 IEEE 802地址)。 可在 IEEE官网查询厂商对应的 MAC地址前 24 位的厂商 ID,具体信息格式如。 图 2.14 MAC 地址与厂商的对应信息 利用 MAC地址嵌入的生成规则,以及 IEEE提供的厂商 ID对照表,就可以通过测绘指定 IPv6 址区 间内某个厂商的地址来缩小测绘范围,进而缩短测绘时间。以 H智能设备厂商 MAC ID “BCAD28”为例, 选取了一个有 MAC地址嵌入资产存活的网段,做了如下测绘测试。 命令:scan6 -i eth0 -d ****:****:5491:0:0000:0000:0000:0000/64 -K " **** Technology Co.,Ltd." 参数 -K 是厂商名称,表示只测绘配配置文件对应厂商的 MAC地址段生成的 IPv6 地址,测绘网段是掩码 /64。 本次测绘耗时约 19 个小时完成测绘,虽然只发现 1 个存活地址,但是说明了增加厂商参数的测绘 MAC嵌入型地址是可行的。因为提供了 6 位厂商 MAC ID以及 4 位的 FFFE,测绘的随机的地址位从 16 位下降到 6 位,要测绘的地址数量就从 264-1 个下降到 218-1,大大缩短了测绘时长。此外,MAC嵌 入型的地址测绘,还有助于发现物联网设备的 IPv6 地址。通过输入物联网智能设备厂商的 MAC,测绘 存活地址大概率就是物联网设备。或者通过提取 MAC嵌入地址中的 MAC地址,并匹配厂商信息,有 助于对资产的设备类型进行识别。 图 2.15 内嵌 MAC的地址测绘

基于双栈服务的启发式测绘

  1. 除了上述的使用地址组成特征测绘的方法以外,我们参考 Cisco Talos 实验室的一篇博客文章 [40] 中 介绍的方法,还可以利用 UPnP 服务发现 IPv6 物联网资产。
  2. 3. 原理简介 UPnP 是用来实现局域网中各类设备互通互连的协议集合,但因为错误配置,很多 UPnP 服务暴露 在互联网上。我们利用这个协议的一些特性,就可以发现一些暴露的、同时运行 IPv4 和 IPv6 双栈服务 的物联网资产。 UPnP 协议中有两个角色,一个是控制节点,一个是设备节点,每当控制节点上线时,都会向组播 地址 239.255.255.250:1900 发送 M-SEARCH的探测包,来寻找可以控制的设备,设备节点收到探测 包或者刚加入网络时,同样都会发送一个 NOTIFY的数据包到组播地址,来告诉各个节点它的信息。 NOTIFY包格式如下图所示,其中的 Location 字段是该设备的描述信息的链接,控制节点收到设备发送 的 NOTIFY的数据包之后,就会访问其 Location 中的链接。UPnP 工作流程如图 2.16 。 图 2.16 UPnP 工作流程 利用 UPnP 服务发现双栈资产具体的操作如图 2.17 所示:
  3. 4. 首先将 Location 中的链接构造成我们搭建的 IPv6 的 WEB服务地址
  4. 5. 向互联网上暴露的 UPnP 服务的物联网资产 IPv4 地址发送构造的 NOTIFY的包
  5. 6. 如果探测的目标主机有 IPv6 的地址,该设备就会使用其 IPv6 地址向我们的 WEB服务发出请求
  6. 7. 通过解析请求日志,可获得相应的 IPv6 资产地址。 图 2.17 利用 UPnP 发现 IPv6 物联网资产原理
  7. 8. 地理位置分布情况 对全球 1900 端口的 IPv4 资产进行分析,去重后发现全球的双栈资产数量为 27,642 个,其中有 27,150 个是 MAC嵌入型地址。查询 IP地理库后,获得了这些地址的地理位置分布情况,如图 2.18 所示。 双栈资产数量最多的地区是中国,共有 15,538 个资产,需要说明的是,其中*省的数量就有 15,296 个; 其次是越南,共有 5,372 个资产。 png)越南 5372 美国 1621 墨西哥 1314 巴西 1044 地理位置 泰国 535 英国 350 沙特阿拉伯 177 马来西亚 143 0 2000 4000 6000 8000 10000 12000 14000 16000 18000 UPnP双栈地址数量(个) 图 2.18 通过 UPnP 发现的双栈资产的地理位置分布 根据亚太互联网络信息中心(Asia-Pacific Network Information Center,APNIC)提供的 IPv6 使用 率来看 [41],*省的 IPv6 地址使用比例为 43.35%,排在全球第七位(截止 2019 年 12 月 1 日)。此外, 从过去两年暴露资产数据得知,*省物联网资产暴露数量也是相对较多的。所以*省的双栈资产数 量如此多,可能和这两点原因有关。
  8. 9. 厂商分布情况 因为我们发现的双栈地址几乎都是 MAC地址嵌入型,所以可以先解析 IPv6 地址中的 MAC,再通 过 MAC地址的厂商 ID号,就可以查询到相关的厂商信息。对 MAC地址做去重处理后,共有 11,606 个设备,具体的厂商分布情况如图 2.19 所示,几乎都是物联网厂商的设备,其中物联网厂商 A的暴露 数量最多。 双栈资产数量(个) A 逊 B C 全 技 技 厂商 安 科 科 网 亚马 网厂商 网厂商 LT 趋势 群辉 物联 物联 物联 厂商名称 图 2.19 发现的双栈资产厂商分布情况

2.4.4.4 IPv6 资产变化情况分析 2018 物联网安全年报中,我们已经阐述了国内 IPv4 物联网资产变化情况,所以借助上节中发现的 物联网资产,接下来我们看看 IPv6 资产变化情况。因为 IPv6 嵌入的 MAC地址是可以确定其对应的唯 一设备,所以我们就可以知道一个资产的网络地址是否变化过。对多轮国内的测绘结果,从得到数据初 步来看,同一物联网设备对应 IPv6 地址也是变化的,并且同一个设备双栈的 IPv4 和 IPv6 的地址对应 关系并不稳定,两个地址均变化、两个地址均不变、只有一个变化的情况都有。具体对应的变化关系, 抽取了一些例子,如表 2.1 、表 2.2 、表 2.3 和表 2.4 。 表 2.1 IPv4 和 IPv6 地址均不变 |测绘时间|IPv4 地址|IPv6 地址| 表 2.2 IPv4 地址不变,IPv6 地址变化 |测绘时间|IPv4 地址|IPv6 地址| 表 2.3 IPv4 地址变化,IPv6 地址不变 |测绘时间|IPv4 地址|IPv6 地址| 表 2.4 IPv4 和 IPv6 地址均变化 |测绘时间|IPv4 地址|IPv6 地址| 我们对国内获取的多轮双栈资产,通过 MAC地址去重后,共得到 2927 个设备。统计 MAC地址与 IPv6 地址的对应关系后,发现有将近 90%(2,633 个)设备的 IPv6 地址发生过变化。为了进一步了解 资产变化情况,我们又抽取存活的 1,934 个 IPv6 物联网资产,并且每天测绘一遍,对这些资产进行存 活性统计(结果如图 2.20 ),第一天有 1,934 个资产地址存活,第二天剩 1,331 个资产地址存活,到 第五天就仅剩 42 个资产地址存活,约占第一天存活的 2%。从获取到的 IPv6 物联网资产存活情况来看, 至少通过 UPnP 发现的双栈的物联网资产 IPv6 网络地址是在变化的。似乎这个发现和我们之前的认知 是不太一样的,即使 IPv6 地址充足,运营商或者设备本身也可能会采用 第1天 第2天 第3天 第4天 第5天 扫描间隔天数 图 2.20 IPv6 物联网资产存活性测绘(抽样)

小结

本章首先介绍了 2019 年国内、新加坡和日本的 IPv4 物联网资产的实际暴露情况,接着又介绍了部 分的 IPv6地址集中的物联网资产暴露情况。其中,*省的物联网 IPv4和 IPv6资产暴露数量都是最多的。 接着又介绍了一些 IPv6 物联网资产的发现方法,利用地址分布特性从 IPv6 地址集中测绘的方法,能大 大缩小测绘的范围,使得 IPv6 测绘变得相对可行,但其缺点也比较明显:不但需要提供存活地址或网段, 而且这种方法并不能发现无规律的地址;当然还有一些其他的方式,比如 DNS 反向映射获取、公网流 量获取、抽样测绘等方法等。虽然 IPv6 地址测绘目前还不完美,但可考虑结合主动测绘和被动流量获 取等多种方法,通过持续运营,不断积累存活的 IPv6 资产。 随着物联网应用的蓬勃发展,IPv6 普及已成必然趋势。面向 IPv6 的网络攻击也定会随之而来, IPv6 网络地址和服务准确的测绘是物联网资产信息收集和脆弱性发现的前提和手段,对于后续的物联 网安全具有着重要的意义。

参考资料

绿盟 2019物联网安全年报