变化资产的 ASN分布情况

变化资产的 ASN分布情况

观察 3： 国内运营商中，国信比邻、广东省联通的物联网资产变化率最高，达 60%以上，导致这 一现象原因可能与资产的分布以及运营商的具体业务有关。

上文初步得出，物联网设备可能会采用拨号上网的方式入网，这样会导致物联网资产的网络地址发生变化，接下来分析变化的物联网资产运营商的分布情况。通过查询网络地址所属的 ASN号码 [^1]，可以 准确确定其所属的运营商信息。抽取部分轮次的 80 端口路由器和 554 端口摄像头变化的资产，并将变 化资产的网络地址与 ASN数据库进行关联统计，由于部分运营商的网络地址总量较大，考虑增加统计 结果的直观性，所以对变化的资产与该运营商总量的占比情况进行统计，经过统计发现，ASN为中国 电信骨干网（CHINANET-BACKBONE）的资产数量最多，绿盟科技发布的《2017 年物联网资产暴露报告》 中提到了了长三角、珠三角等经济发达的地区物联网资产暴露资产数量比较多，再结合中国南方地区主 要是电信用户，这个 ASN分布与之前的统计结果也相吻合。

具体的变化资产占比情况如图 2.20 和图 2.21 所示，抽取的 80 端口的路由器变化资产，其中 ASN 占比最多是北京国信比邻，变化资产数量共 5624 个，占该 ASN资产总量的 63%；抽取的 554 端口的 摄像头变化资产 ASN占比最多的是中国广东省联通，变化资产数量共 4159 个，占该 ASN资产总量的 70%。猜测导致这一现象的原因，一方面可能与国内的物联网资产的分布有关，另一方面与具体运营商 的产品和服务有关。如果扫描的时候能对物联网资产数量较多且变化较快的 ASN加大关注度，对掌握 物联网资产的真实暴露情况也是有帮助的。因为篇幅有限，仅对部分变化的资产的 ASN分布进行分析， 我们可能在以后的报告或文章中做详尽的分析。

国内物联网资产真实暴露情况

根据上文分析可知，部分的互联网上暴露的物联网资会频繁变化，所以如果采用历史暴露资产数据 表示当前的实际资产数量，必然会虚高，我们认为使用国内一轮扫描的数据作为暴露数据，更能真实的 描绘互联网的物联网设备暴露情况。于是取扫描数据较为稳定的 2018 年 10 月份的一整轮数据，具体 如图 2.22 所示，与上文中的累计暴露数据对比来看，国内摄像头的暴露数量从 470 万下降 130 万左右； 路由器数量下降更为明显，从 420 万下降到 46 万；VoIP 电话数量从 100 万下降到 21 万，总体来说单 轮扫描资产相比累计暴露数量均有大幅的下降，这个数量差距同样也可以反映出互联网暴露的资产变化 情况。累计的暴露资产数据的和某一时刻的暴露资产数据，能在不同维度上描绘暴露情况，所以使用者 应根据所需场景择优选择。

小结

从物联网资产暴露概况到资产变化分析，再到变化原因分析，我们一步步佐证了大量暴露的物联网 资产的网络地址一直处于频繁变化中的推论。资产地址频繁变化会带来具体的影响，一方面，在物联网 设备相关的威胁分析中，如果不考虑资产的网络地址变化因素，那么部分物联网资产威胁关联出现错误&#x