隨著物聯(lián)網(wǎng)應(yīng)用的蓬勃發(fā)展、IPv4地址的耗盡，IPv6普及已成必然趨勢(shì)，IPv6網(wǎng)絡(luò)上暴露的物聯(lián)網(wǎng)資產(chǎn)將成為攻擊者的重點(diǎn)目標(biāo)，所以能夠?qū)Pv6資產(chǎn)和服務(wù)準(zhǔn)確的測(cè)繪，對(duì)于網(wǎng)絡(luò)安全具有著重要的意義。

本文介紹了2019年國(guó)內(nèi)、新加坡和日本的IPv4物聯(lián)網(wǎng)資產(chǎn)的實(shí)際暴露情況，部分的IPv6地址集中的物聯(lián)網(wǎng)資產(chǎn)暴露情況?？偨Y(jié)了一些IPv6物聯(lián)網(wǎng)資產(chǎn)的發(fā)現(xiàn)方法，利用地址分布特性從IPv6地址集中測(cè)繪的方法，能大大縮小測(cè)繪的范圍，使得IPv6測(cè)繪變得相對(duì)可行。雖然IPv6地址測(cè)繪目前還不完美，但可考慮結(jié)合主動(dòng)測(cè)繪和被動(dòng)流量獲取等多種方法，通過(guò)持續(xù)運(yùn)營(yíng)，來(lái)不斷積累存活的IPv6資產(chǎn)。隨著物聯(lián)網(wǎng)應(yīng)用的蓬勃發(fā)現(xiàn)，IPv6普及已成必然趨勢(shì)。面向IPv6的網(wǎng)絡(luò)攻擊也定會(huì)隨之而來(lái)，IPv6網(wǎng)絡(luò)地址和服務(wù)準(zhǔn)確的測(cè)繪是物聯(lián)網(wǎng)資產(chǎn)信息收集和脆弱性發(fā)現(xiàn)的前提和手段，對(duì)于后續(xù)的物聯(lián)網(wǎng)安全具有著重要的意義。

本文只對(duì)《2019 物聯(lián)網(wǎng)安全年報(bào)》的部分章節(jié)進(jìn)行解讀。

一. IPv4物聯(lián)網(wǎng)資產(chǎn)實(shí)際暴露情況

2019年國(guó)內(nèi)物聯(lián)網(wǎng)資產(chǎn)實(shí)際的暴露數(shù)量共有116萬(wàn)，其中暴露設(shè)備類型最多的是攝像頭。

2018年，互聯(lián)網(wǎng)上暴露的資產(chǎn)網(wǎng)絡(luò)地址是不斷變化的，使用歷史數(shù)據(jù)來(lái)描繪暴露資產(chǎn)情況，會(huì)導(dǎo)致統(tǒng)計(jì)結(jié)果要高于實(shí)際暴露數(shù)量，所以某個(gè)地區(qū)實(shí)際的暴露數(shù)量，應(yīng)在較短的時(shí)間測(cè)繪一個(gè)周期后，統(tǒng)計(jì)物聯(lián)網(wǎng)資產(chǎn)數(shù)量更為準(zhǔn)確。在2019年11月，我們對(duì)國(guó)內(nèi)物聯(lián)網(wǎng)資產(chǎn)常用端口進(jìn)行測(cè)繪，共發(fā)現(xiàn)116萬(wàn)暴露的物聯(lián)網(wǎng)資產(chǎn)，其中最多的是攝像頭，暴露數(shù)量約56萬(wàn)。如圖 1.1 所示。

圖 1.1 2019年國(guó)內(nèi)IPv4物聯(lián)網(wǎng)資產(chǎn)實(shí)際暴露情況

報(bào)告還介紹了新加坡和日本的物聯(lián)網(wǎng)資產(chǎn)實(shí)際暴露情況。日本暴露物聯(lián)網(wǎng)資產(chǎn)總量約47萬(wàn)，新加坡暴露物聯(lián)網(wǎng)資產(chǎn)總量約28萬(wàn)。日本物聯(lián)網(wǎng)資產(chǎn)暴露情況相較于去年總量變化不大，新加坡的物聯(lián)網(wǎng)資產(chǎn)暴露數(shù)量相比于去年增加了約40%，這個(gè)增長(zhǎng)可能與近些年新加坡大力發(fā)展物聯(lián)網(wǎng)應(yīng)用有關(guān)。

二. IPv6物聯(lián)網(wǎng)資產(chǎn)實(shí)際暴露情況研究

目前IPv6的資產(chǎn)測(cè)繪還是學(xué)術(shù)難題，國(guó)內(nèi)外相關(guān)的研究頁(yè)也屬于起步階段，但可啟發(fā)式地通過(guò)IPv6地址和物聯(lián)網(wǎng)服務(wù)的一些特性來(lái)發(fā)現(xiàn)IPv6物聯(lián)網(wǎng)資產(chǎn)。從結(jié)果看，國(guó)內(nèi)的IPv6物聯(lián)網(wǎng)資產(chǎn)數(shù)量還是較少，應(yīng)與我國(guó)的IPv6部署還屬于初級(jí)階段有關(guān)。

IPv6的地址空間過(guò)大，IPv6地址數(shù)量是IPv4的296倍，如果以IPv4資產(chǎn)發(fā)現(xiàn)的方式，在全網(wǎng)段測(cè)繪IPv6資產(chǎn)，從時(shí)間開(kāi)銷(xiāo)和資源消耗上都是不切實(shí)際的;此外，目前IPv6地址使用的實(shí)際數(shù)量較少，并且地址分布的隨機(jī)性較大，難有針對(duì)性的測(cè)繪策略發(fā)現(xiàn)某網(wǎng)絡(luò)中存活的IPv6資產(chǎn)，這也無(wú)形增加了測(cè)繪難度。所以面向IPv4的地址測(cè)繪方法不適用于IPv6網(wǎng)絡(luò)。

2.1 從已知IPv6地址集合中發(fā)現(xiàn)物聯(lián)網(wǎng)資產(chǎn)

我們找到一些可用的IPv6地址集合，通過(guò)對(duì)這些地址的測(cè)繪以及識(shí)別來(lái)發(fā)現(xiàn)物聯(lián)網(wǎng)資產(chǎn)。使用的地址集合包括：Hitlist維護(hù)的存活I(lǐng)Pv6地址，數(shù)量約有300萬(wàn);綠盟威脅情報(bào)中心(NTI)中域名情報(bào)映射的IPv6地址集，數(shù)量約17億。對(duì)物聯(lián)網(wǎng)資產(chǎn)常用端口進(jìn)行測(cè)繪，得到的物聯(lián)網(wǎng)資產(chǎn)約有8萬(wàn)，最多的物聯(lián)網(wǎng)資產(chǎn)類型是VoIP電話，共有70682個(gè)，其次是攝像頭，共有13960個(gè)，最后是路由器，共有1549個(gè)。

對(duì)物聯(lián)網(wǎng)資產(chǎn)端口分布情況進(jìn)行統(tǒng)計(jì)，數(shù)量較多的主要是VoIP電話開(kāi)放的5060端口和攝像頭開(kāi)放的554端口。物聯(lián)網(wǎng)資產(chǎn)所在的國(guó)家分布情況如圖 1.2 所示，物聯(lián)網(wǎng)資產(chǎn)數(shù)量最多是德國(guó)，其次是荷蘭和美國(guó)。

圖 1.2 發(fā)現(xiàn)的IPv6物聯(lián)網(wǎng)資產(chǎn)國(guó)家分布情況

2.2 基于IPv6地址生成特征的啟發(fā)式測(cè)繪

IPv6地址分布存在一些特點(diǎn)，比如部分地址位隨機(jī)、MAC地址嵌入等，我們可以利用這些分布特性，加入一些測(cè)繪范圍或限制條件，來(lái)降低IPv6地址測(cè)繪地址空間。利用MAC地址嵌入的生成規(guī)則，以及IEEE提供的廠商ID對(duì)照表，就可以通過(guò)測(cè)繪指定IPv6址區(qū)間內(nèi)某個(gè)廠商的地址來(lái)縮小測(cè)繪范圍，進(jìn)而縮短測(cè)繪時(shí)間。因?yàn)樘峁┝?位廠商MAC ID以及4位的FFFE，測(cè)繪的隨機(jī)的地址位從16位下降到6位，要測(cè)繪的地址數(shù)量就從264-1個(gè)下降到218-1，大大縮短了測(cè)繪時(shí)長(zhǎng)。此外，MAC嵌入型的地址測(cè)繪，還有助于發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備的IPv6地址。通過(guò)輸入物聯(lián)網(wǎng)智能設(shè)備廠商的MAC，測(cè)繪存活地址大概率就是物聯(lián)網(wǎng)設(shè)備。或者通過(guò)提取MAC嵌入地址中的MAC地址，并匹配廠商信息，有助于對(duì)資產(chǎn)的設(shè)備類型進(jìn)行識(shí)別。

2.3 基于UPnP雙棧服務(wù)的啟發(fā)式測(cè)繪

除了上述的使用地址組成特征測(cè)繪的方法以外，還可以利用UPnP服務(wù)發(fā)現(xiàn)IPv6物聯(lián)網(wǎng)資產(chǎn)。UPnP是用來(lái)實(shí)現(xiàn)局域網(wǎng)中各類設(shè)備互通互連的協(xié)議集合，但因?yàn)殄e(cuò)誤配置，很多UPnP服務(wù)暴露在互聯(lián)網(wǎng)上。我們利用這個(gè)協(xié)議的一些特性，就可以發(fā)現(xiàn)一些暴露的、同時(shí)運(yùn)行IPv4和IPv6雙棧服務(wù)的物聯(lián)網(wǎng)資產(chǎn)。對(duì)全球1900端口的IPv4資產(chǎn)進(jìn)行分析，去重后發(fā)現(xiàn)全球的雙棧資產(chǎn)數(shù)量為27,642個(gè)，其中有27,150個(gè)是MAC嵌入型地址。雙棧資產(chǎn)數(shù)量最多的地區(qū)是中國(guó)，共有15,538個(gè)資產(chǎn);其次是越南，共有5,372個(gè)資產(chǎn)。

圖 1.3 通過(guò)UPnP發(fā)現(xiàn)的雙棧資產(chǎn)的地理位置分布

我們發(fā)現(xiàn)的雙棧地址幾乎都是MAC地址嵌入型，所以可以先解析IPv6地址中的MAC，再通過(guò)MAC地址的廠商ID號(hào)，就可以查詢到相關(guān)的廠商信息。對(duì)MAC地址做去重處理后，共有11,606個(gè)設(shè)備，具體的廠商分布情況如圖 1.4 所示，幾乎都是物聯(lián)網(wǎng)廠商的設(shè)備，其中物聯(lián)網(wǎng)廠商A的暴露數(shù)量最多。

圖 1.4 發(fā)現(xiàn)的雙棧資產(chǎn)廠商分布情況

更詳盡的關(guān)于物聯(lián)網(wǎng)資產(chǎn)的描述，可點(diǎn)擊下載報(bào)告完整版