IPv中的地域分布
据 2019 年上半年
观察,在我国多省都已经观测到使用 IPv6 地址进行的攻击行为,涉及攻击类型 167 种,覆盖 20 多个省份。数量分布如下图所示(IPv4 告警数据量进行了 900:1 的比例收缩):图 5.1 IPv6 与 IPv4 地址各省受攻击情况
浙江 北京 广东 江苏 福建 陕西 安徽 山东 上海 河北 海南 湖北 重庆 河南 西藏 天津 广西 辽宁 湖南 贵州 江西 新疆 宁夏 青海
黑龙江 内蒙古
上图的横坐标代表不同省份,纵坐标代表告警数量。先从各省节点对 IPv6的监控情况看,广东、北京、 浙江等地,有大范围收到 IPv6 地址范围的攻击。从之后的数据可以看出,这几个地区的院校单位大量 采用 IPv6 地址。导致这些地区会有更多的 IPv6 相关的告警数量。图 5.1 给出了 2019 上半年 IPv4 与 IPv6 的告警数量对比概览。由于 IPv4 告警数量很多,我们将 IPv4 告警数量进行了 900:1 的比例收缩 后,再与 IPv6 的告警数量做对比。图 5.1 看出, IPv6 和 IPv4 环境中的告警数量整体分布基本保持一致。 IT建设更好的四大经济强省,浙江、北京,广东和江苏都位于前列。通过上图分析可知:
- 已有一些黑客和攻击组织开始使用 IPv6 进行攻击,未来有可能成为大规模攻击的风险,当然数 据也许与各地 IPv6 建设速度有关系。
- 上图反映了各省市已经开始建设 IPv6 基础设施
,并且均不同程度遭受到安全攻击,打破了长期 以来对 IPv6 安全的忽视,未来 IPv6 极可能需要尽快建设安全检测与防御体系,减少危害。在 2019 年上半年的告警数据中,针对来自于国外的攻击进行分析,具体分布情况如图 5.2 所示, 占据前四位的国家是瑞士( 53.2%),罗马尼亚( 20%),美国(11.2%),马来西亚( 7.2%),其他 国家相对占比比较少,占比 3.2%。结合 Akamai 公司 IPv6 采用情况可化结果以及 2017 年度的 IPv6
报告 ① ②,我们可以发现告警数量排名前四的国家在国内 IPv6 覆盖度上均在全球名列前 40,其中,美国 排名第二(48%),马来西亚排名第 6(39.3%),瑞士排名第 23(21.7%),罗马尼亚排名第 37(13.1%), 同时在国内 IPv6 流量占比上美国( 22%)和瑞士( 21%)都在全球排名前五。可以看出, IPv6 应用的 成熟度
一定程度上影响了攻击者对 IPv6 的选择。图 5.2 IPv6 攻击源位于国外的告警分布
瑞士 1832 罗马尼亚 859
美国 398
马来西亚 249
日本 41
立陶宛 22
法国 14
俄罗斯 11
荷兰 7
德国 11
英国 5
下面我们将分为两个小节描述国内外攻击详情。
国内分析
接下来基于 2019 年上半年的网络安全观察,对国内 IPv6 攻击的影响面做进一步的分析。从攻击目 标行业分布来看,目的 IP 集中于运营商,高校及大型跨国企业,分布如下图所示。
图 5.3 国内目的地址分布
国内目的地址分布
中国***城域网 17423 **学院 15412
中国*****城域网 12757
****大学 5443
中国***** 3664 *****有限公司 2269
中国****平台 2089 ****大学 2043
**学院 660
**大学 540
*****网 536
*****专线 358
****大学 283
**学院 282
*****有限公司 262
从上图看,目标位于运营商城域网的 IPv6 日志情况要明显多于其他的单位,占日志量的 54.4%,超 过一半的比例。其次是一些高校和大型企业的日志信息。从攻击目标波及的单位数量来看,高校是最多的, 这也和各大高校较早推进 IPv6 建设有关。针对这些高校收到的攻击进行分析,这些高校总共受到了 54 种不同的攻击,其中 Top10 分布如下。从告警中可以看出,在 IPv6 环境下,攻击者针对高校的攻击, 往往是面向 Web 服务和数据库服务,企图获取服务器权限和进行远程命令执行,危害高校的 Web 服务 安全和数据安全。
图 5.4 攻击目标为高校的 Top10 攻击事件
|名称|数量|
|Webshell 后门访问控制|2674|
|远程 SQL注入攻击|829|
|Webshell 脚本文件上传攻击|725|
|FCKEditor 任意文件上传漏洞|678|
|Web 服务远程跨站脚本执行攻击|637|
|PHP 代码执行漏洞|529|
|HTTP 服务目录遍历漏洞|404|
|ThinkPHP 5.x 远程命令执行漏洞|255|
|HTTP 命令注入攻击|194|
|Microsoft IIS 错误解析远程代码执行漏洞|104|
针对大型互联网厂商主要攻击事件监控结果,可以看出,情况与高校类似, Web 服务和数据库服务 也是攻击的重点。
图 5.5 攻击目标为互联网厂商攻击事件 Top5
|名称|数量|
|Web 服务远程跨站脚本执行攻击|707|
|PHP 代码执行漏洞|284|
|Web 服务远程 SQL注入攻击行为|180|
|Java 代码执行漏洞|57|
|Ruby on Rails 嵌套参数 SQL注入漏洞|6|
从攻击源分布的角度,我们对一些主要行业,高校和运营商,做了重点分析。下图给出了一些高校 中基于 IPv6 的告警情况,其横坐标表示的是不同高校,纵坐标表示告警次数。
图 5.6 攻击源位于高校的告警情况
**学院 **学院
****大学 ****大学
****职业学院 ****化工学院
****职业技术学院
下面以某学院为例 ,分析一下针对高校中采用的攻击手法
图 5.7 某学院中的攻击源告警情况
|名称|数量|
|挖矿病毒 Xmrig 通信|502|
|挖矿程序门罗币服务器通信|308|
|挖矿蠕虫 WannMine 服务器通信|105|
|恶意程序 PowerGhost 服务器通信|62|
从上图可以看出,该学院的告警主要源自于恶意程序与外部通信连接行为。在这种情况下,攻击源 往往都是受感染主机。 IPv6 环境下的僵木蠕攻击在现阶段还是主要集中于挖矿行为。比如门罗币挖矿 主要通过“ minexmr.com”和“minergate.com ”等地址与服务器通信连接。而这些服务地址已经由绿 盟情报平台给出了其详细关联分析内容,如下:
图 5.8 门罗币挖矿相关情报
从攻击动机来看,高校中产生的大量 IPv6 源地址,并非意图主动向外部发起攻击,更多是属于受 害者主动外连,真正危害的还是高校自身的安全。
针对攻击源地址位于三大运营商的情况,我们也做了相应的分析,分布如下图所示。从节点监控结 果来看,攻击事件主要集中于僵木蠕攻击、 Web 服务及 Web 框架类攻击和基于暴力攻击等行为,经过 分析,运营商的情况和高校基本相同,不再赘述。攻击者已经开始针对运营商的 IPv6 基础设施发起攻击。 运营商作为网络建设的推动者,在 IPv6 建设中起到关键作用,运营商的安全建设更是需要同步推进, 基础通信设施和 IDC基础设施的防护工作更要提高安全防护等级。
图 5.9 攻击源位于运营商的告警数量分布运营商源地址分布
移动,22512,35%
电信,39470,61%
联通,2858,4%