随着物联网应用的蓬勃发展、IPv4地址的耗尽,IPv6普及已成必然趋势,IPv6网络上暴露的物联网资产将成为攻击者的重点目标,所以能够对IPv6资产和服务准确的测绘,对于网络安全具有着重要的意义。
本文介绍了2019年国内、新加坡和日本的IPv4物联网资产的实际暴露情况,部分的IPv6地址集中的物联网资产暴露情况。总结了一些IPv6物联网资产的发现方法,利用地址分布特性从IPv6地址集中测绘的方法,能大大缩小测绘的范围,使得IPv6测绘变得相对可行。虽然IPv6地址测绘目前还不完美,但可考虑结合主动测绘和被动流量获取等多种方法,通过持续运营,来不断积累存活的IPv6资产。随着物联网应用的蓬勃发现,IPv6普及已成必然趋势。面向IPv6的网络攻击也定会随之而来,IPv6网络地址和服务准确的测绘是物联网资产信息收集和脆弱性发现的前提和手段,对于后续的物联网安全具有着重要的意义。
本文只对《2019 物联网安全年报》的部分章节进行解读。
一. IPv4物联网资产实际暴露情况
2019年国内物联网资产实际的暴露数量共有116万,其中暴露设备类型最多的是摄像头。
2018年,互联网上暴露的资产网络地址是不断变化的,使用历史数据来描绘暴露资产情况,会导致统计结果要高于实际暴露数量,所以某个地区实际的暴露数量,应在较短的时间测绘一个周期后,统计物联网资产数量更为准确。在2019年11月,我们对国内物联网资产常用端口进行测绘,共发现116万暴露的物联网资产,其中最多的是摄像头,暴露数量约56万。如图 1.1 所示。
图 1.1 2019年国内IPv4物联网资产实际暴露情况
报告还介绍了新加坡和日本的物联网资产实际暴露情况。日本暴露物联网资产总量约47万,新加坡暴露物联网资产总量约28万。日本物联网资产暴露情况相较于去年总量变化不大,新加坡的物联网资产暴露数量相比于去年增加了约40%,这个增长可能与近些年新加坡大力发展物联网应用有关。
二. IPv6物联网资产实际暴露情况研究
目前IPv6的资产测绘还是学术难题,国内外相关的研究页也属于起步阶段,但可启发式地通过IPv6地址和物联网服务的一些特性来发现IPv6物联网资产。从结果看,国内的IPv6物联网资产数量还是较少,应与我国的IPv6部署还属于初级阶段有关。
IPv6的地址空间过大,IPv6地址数量是IPv4的296倍,如果以IPv4资产发现的方式,在全网段测绘IPv6资产,从时间开销和资源消耗上都是不切实际的;此外,目前IPv6地址使用的实际数量较少,并且地址分布的随机性较大,难有针对性的测绘策略发现某网络中存活的IPv6资产,这也无形增加了测绘难度。所以面向IPv4的地址测绘方法不适用于IPv6网络。
2.1 从已知IPv6地址集合中发现物联网资产
我们找到一些可用的IPv6地址集合,通过对这些地址的测绘以及识别来发现物联网资产。使用的地址集合包括:Hitlist维护的存活IPv6地址,数量约有300万;绿盟威胁情报中心(NTI)中域名情报映射的IPv6地址集,数量约17亿。对物联网资产常用端口进行测绘,得到的物联网资产约有8万,最多的物联网资产类型是VoIP电话,共有70682个,其次是摄像头,共有13960个,最后是路由器,共有1549个。
对物联网资产端口分布情况进行统计,数量较多的主要是VoIP电话开放的5060端口和摄像头开放的554端口。物联网资产所在的国家分布情况如图 1.2 所示,物联网资产数量最多是德国,其次是荷兰和美国。
图 1.2 发现的IPv6物联网资产国家分布情况
2.2 基于IPv6地址生成特征的启发式测绘
IPv6地址分布存在一些特点,比如部分地址位随机、MAC地址嵌入等,我们可以利用这些分布特性,加入一些测绘范围或限制条件,来降低IPv6地址测绘地址空间。利用MAC地址嵌入的生成规则,以及IEEE提供的厂商ID对照表,就可以通过测绘指定IPv6址区间内某个厂商的地址来缩小测绘范围,进而缩短测绘时间。因为提供了6位厂商MAC ID以及4位的FFFE,测绘的随机的地址位从16位下降到6位,要测绘的地址数量就从264-1个下降到218-1,大大缩短了测绘时长。此外,MAC嵌入型的地址测绘,还有助于发现物联网设备的IPv6地址。通过输入物联网智能设备厂商的MAC,测绘存活地址大概率就是物联网设备。或者通过提取MAC嵌入地址中的MAC地址,并匹配厂商信息,有助于对资产的设备类型进行识别。
2.3 基于UPnP双栈服务的启发式测绘
除了上述的使用地址组成特征测绘的方法以外,还可以利用UPnP服务发现IPv6物联网资产。UPnP是用来实现局域网中各类设备互通互连的协议集合,但因为错误配置,很多UPnP服务暴露在互联网上。我们利用这个协议的一些特性,就可以发现一些暴露的、同时运行IPv4和IPv6双栈服务的物联网资产。对全球1900端口的IPv4资产进行分析,去重后发现全球的双栈资产数量为27,642个,其中有27,150个是MAC嵌入型地址。双栈资产数量最多的地区是中国,共有15,538个资产;其次是越南,共有5,372个资产。
图 1.3 通过UPnP发现的双栈资产的地理位置分布
我们发现的双栈地址几乎都是MAC地址嵌入型,所以可以先解析IPv6地址中的MAC,再通过MAC地址的厂商ID号,就可以查询到相关的厂商信息。对MAC地址做去重处理后,共有11,606个设备,具体的厂商分布情况如图 1.4 所示,几乎都是物联网厂商的设备,其中物联网厂商A的暴露数量最多。
图 1.4 发现的双栈资产厂商分布情况
更详尽的关于物联网资产的描述,可点击下载报告完整版