物联网
资产地址变化的原因分析
观点 3: 国内至少有 40%暴露的物联网资产的网络地址
处于频繁变化的状态,大部分变化的资产 采用拨号的方式入网。无论是描绘暴露物联网资产,还是对威胁的跟踪,考虑资产的变化情况都有着重 要的意义。另外,IPv6 普及后,资产变化的现象会大大减少,但物联网资产的暴露数量可能也会剧增。
通过上节对互联网上暴露的摄像头、路由器
和 VoIP电话资产的网络地址变化进行初步分析,可 见即便服务较为稳定的摄像头,变化数量也占其资产总量的 40% 左右。本节将根据实际扫描数据来分 析可能引起暴露资产变化的原因。
变化资产使用拨号方式入网
首先,我们推测资产变化如此频繁可能与设备入网方式有关,如果物联网设备采用 ADSL拨号上网 的方式,当设备每次断电或重启时,需要重新拨号上网,此时设备的网络地址发生变化有两种可能:第 一种,运营商
的 BRAS设备的 DHCP服务分配给该设备的租期已满,需要重新分配一个网络地址;第二 种,运营商的 BRAS设备的 NAT会话超时,需要重新为该设备分配一个外网地址。由于 NAT的会话超 时时间远小于 DHCP租期,所以大部分情况下设备地址变化是第二种情况。
这个变动范围根据运营商的实际分配网段的情况而定,那么基于这个猜想,接下来分析历史的扫描 轮次中的物联网设备网络地址在同一网段中的数量情况。
在这里需要定义几个术语。**网段映射:**即将设备的网络地址(IP 地址)取前若干位获得其所属的网 络地址。如果我们将设备的网络地址取前 24 位,则称为 C段映射,如取前 16 位,则称为 B 段映射, 以下不再赘述。
观察 2: 大量物联网资产的网络地址可映射到同一个网段,且该网段部分为 ADSL段。对于两个月 累计的摄像头
、路由器和 VoIP电话的网络地址集合 {n},做网段映射得到集合 {N},过滤出网段映射 N 中物联网设备网络地址 m 并统计大于 20 的网络地址,其总数占 N 总网络地址数 |n| 的 41%左右。即 |{m|m>20}|/|n|=41%。
对国内 2018 年 8 月 1 日至 9 月 27 日将近两个月内出现过的路由器、摄像头和 VoIP电话的网络地 址进行统计后,结果如表 2.1 所示 1,发现确实存在多个设备地址在同一个网段的现象。两个月内路由器、 摄像头和 VoIP电话暴露的网络地址总量为 9,697,872 个,其中网络地址数量在 20 至 50 个之间的网段 共有 66,273 个,50 至 100 个之间的网段共有 21,660 个,大于 100 个的网段共有 3,597 个。
表 2.1 物联网资产同一网段的 IP 数量分布
同一 C段的网络地址数量
可见,多个物联网设备网络地址映射到 C 段网络的数量不少,
1 考虑可能存在多种类型设备的网络地址在同一网段中情况,我们曾发现过前一个扫描轮次被标记为摄像头的网络地址在下一轮次被
标记为路由器。为了避免各类型之间的数据混淆,所以将三种设备的网络地址放到一起,统计同网段暴露设备数量情况。
一网段中网络地址数大于 20 的网络地址数占网络地址总数的 41%,从这个数量来看,多物联网设备地 址在同一网段出现的情况是普遍的现象。
出现这种现象,主要有两种猜测:第一,确实有大量物联网设备同处于一网段;第二,也可能是因 为多轮次的扫描数据中,物联网资产的网络地址会在一定的网段范围内频繁变化。第一种猜想确实有可 能,但数量偏高,所以接下来会主要分析第二种猜想的可能性。
2.3.1.2 资产映射网段变化情况
a) 资产 C段映射变化统计
前述相当一部分的物联网资产的网络地址可被映射到同一网段,那么接下来就看一下各类型资产的 网段映射变化。统计各个类型的物联网资产网络地址的映射网段情况,同样按照上文如图 2.11 、图 2.12 和图 2.13 所示。国内 554 端口的摄像头变化网段的数量为 35% 左右;80 端口路由器网段的变化的数 量约占 30% 左右;而 5060 端口的 VoIP电话变化的网段则仅有 25% 左右。从网段的变化情况来看,摄 像头的网段变化和网络地址变化比例接近,路由器的网段变化要比网络地址变化稳定的多,变化量从 70% 降到 30% ,而 VoIP电话则更加稳定,变化量从 80% 降到 25%。
从物联网资产 C 段映射与网络地址的变化对比来看,物联网设备的网段映射变化要比网络地址变化 稳定的多。原因是路由器和 VoIP电话物联网设备采用拨号等动态方式入网,其分配到的网络地址会经 常变更,所以每个扫描轮次的物联网设备的单个网络地址变化较大,而由于运营商的网络地址分配通常 会在一个网络地址区间,所以在不同扫描轮次的时间节点设备分配到的多个网络地址会被映射到同一个 网段(即文中 C 端映射或 B段映射),所以网络地址对应的网段映射变化却不大。
b) 资产 B 段映射变化统计
我们接下来再增大网段映射的范围,统计一下 B段映射的变化情况。如图 2.14 、图 2.15 和图 2.16 所示,三种类型的设备资产所在 B网段都几乎没发生变化。按照之前的推测,如果一个物联网设备的网 络地址发生变化,其范围也不会超过运营商 DHCP服务的地址空间。由于我国的网络地址较少,所以一 个 DHCP 服务的地址空间几乎不会超过一个 /16 的 CIDR网络。所以,下图也验证了前述物联网资产的 网络地址是在运营商所分配的网络地址空间范围内变化的推测。
2.3.1.3 资产变化抽样扫描分析
前面小节分析了物联网资产变化情况,初步推测出物联网资产的网络地址会随着时间在变化,而资 产的网段映射却相对稳定,并且网段映射变化量也会随着扫描时长的缩短而减少。这是以针对国内物联 网资产的扫描结果作为数据源,接下来将继续抽取物联网设备较多的部分网段进行扫描验证,一方面是 为了进一步验证上文的推测的真实性;另一方面也是考虑到受扫描机器性能和带宽的限制,资产扫描轮 次的间隔不能无限地缩小,而抽样扫描就很好地避免这个问题,我们能看到在更短扫描时长下的资产变 化情况。
出于便于观察和统计的考虑,首先抽取 30 个历史数据中物联网设备数量大于 50 的网段作为扫描样 本,经测试扫描这 30 个网段需要 2 小时,对一天的扫描轮次进行对比,如图 2.17 所示,从每轮的扫描 数据来看,30 个网段的物联网资产约有 1065 个,这个总量在每轮扫描中都比较稳定,间隔两个小时的 变化也比较小,仅有不到 20 个资产会发生变更,但是随着时间的变长,当间隔 10 小时的时候,可以 看出变化的资产增长到了 40 个。接下来继续看看这些资产的每天变化情况。
我们对抽样的 30 个资产变化频繁的网段内的网络地址进行查询,发现除了个别被标注为未知外, 其余的各个网段中的网络地址应用类型均为 ADSL。那么结合上面的网段变化分析,就可以基本确定了 我们之前的猜测。因为部分物联网资产采用拨号上网的方式,并且国内扫描一轮时长至少 3 天,这部分 资产在 3 天内重新拨号入网的概率较大,导致网络地址重新分配,所以我们统计的物联网资产网络地址 变化如此频繁。
为了近一步确定国内物联网资产变化分析的准确性,我们对日本暴露的物联网资产进行了相同维 度的分析。如图 2.19 所示,日本的 554 端口的摄像头资产变化并不明显,间隔 3 天仅有 8%(中国为 28%)的资产发生过变化,间隔 11 天变化的资产也只有不到 17%(中国为 36%)。从网络地址和人口 总量来看,中国约有 3.3 亿个公网地址,日本约有 2 亿个,而日本的人口总量仅有 1.2 亿,不到中国的 十分之一。所以根据中国和日本的资产变化对比结果,可以近一步得出因地址不足,网络地址复用,才 出现资产地址频繁变化的现象。
扫一扫
3133
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
