执行摘要
未来的时代里,数字化和全球化将深入到世界各地每一个角落,人人受惠。基于 IPv6的下一代
互联网,4.将成为支撑前沿技术和产业快速发展的基石。2017 年 11 月,中共中央办公厅和国务院办公厅联合印发了《推进互联网协议第六版( IPv6)规模 部署行动计划
》 ①,为互联网技术的普及和应用,以及未来产业奠定了良好的基础。该文指出到 2020 年末国内 IPv6 活跃用户要达到 5 亿,2025 年末中国 IPv6 规模要达到世界第一。图 1.1 《推进互联网
协议第六版(IPv6)规模部署行动计划》根据第 43 次《中国互联网络发展状况统计报告》 ②,截至 2018 年 12 月,我国 IPv6 地址数量为 41079 块 /32,年增长率为 75.3%。与此同时,我国网民使用手机上网的比例达 98.6%,较 2017 年底 提升 1.1 个百分点;网民使用电上网的比例达 31.1%,较 2017 年底提升 2.9 个百分点;使用台式电 脑上网的比例为 48.0%,较 2017 年底下降 5 个百分点。可以看出,传统计算机与互联网的应用比例有
所下降,移动生活的普及、物联网的发展和工业 4.0 的推进,都将对地址空间、服务质量以及安全性等 提出更高的要求,而未来 IPv6 的大范围部署可以一定程度满足上述需求。
IPv6 的设计对安全性有一定的提升,例如,取消了广播机制、集成了虚拟专网( VPN)的功能和 IPsec,然而许多在 IPv4 中存在的网络安全问题在 IPv6 中同样存在,例如应用层协议或服务导致的漏 洞无法消除,未实施双向认证的情况下中间人攻击仍然存在,同时网络嗅探、设备仿冒和洪泛攻击等也 无法避免。因此,本团队对 IPv6 环境中的攻击告警进行抽样分析,下文将从安全态势、热点攻击、行
业 / 地域分布,以及“惯犯”等角度对 IPv6 用户面临的威胁进行刻画。
IPv攻击态势概览
热点态势
当前随着 IPv6 的普及, IPv6 相关的攻击也呈现上升态势。第一起有记录的 IPv6 DDoS 攻击事件发 生在 2018 年 3 月,此次攻击涉及了 1900 个 IPv6 地址 ①。此后在 IPv6 环境下利用漏洞的攻击行为也被 陆续捕获到。
通过对捕获到的相关数据分析得知,目前大部分 IPv6 环境下的攻击所使用的漏洞都是应用层漏洞,
与 IPv4 攻击的目标相同,暂时还未发现针对 IPv6 自身协议漏洞的攻击。我们通过对 IPv4 环境下的远 程漏洞研究发现,大多数漏洞都存在于传输层和应用层,与网络层协议无关。因此攻击者几乎没有付出 代价就可以轻易地转换战场,直接使用 IPv4 环境下的攻击载荷在 IPv6 环境下进行漏洞利用。
通过对 CVE 漏洞库中的漏洞进行研究发现,按 CVE标号计算截至 2019 年 IPv6 相关协议族的漏洞
共 389 个,整体占比很低。这些漏洞主要分布在 Linux 内核、 Linux 发行版本系统、 Windows 等系统, tcpdump、Wireshark 等应用程序和 Juniper、Cisco 、Huawei 路由器等硬件产品。 Linux 中出现的漏洞 主要集中在 IPv6 的实现上,出现频次比较高的模块是 IPv6 的分片模块; Cisco 上的漏洞主要在 Cisco IOS 上。从漏洞涉及模块来看, IPv6 snooping 模块上出现的问题比较多, Tcpdump 在 4.9.2 前版本中
的 IPv6 routing header parser 模块以及 IPv6 mobility parser 模块中也连续爆出了一系列漏洞。
按年份来看 IPv6 相关漏洞数如下:
图 2.1 近年 IPv6 相关漏洞数量
漏洞
其中 CVSS小于 3 的低危漏洞占 2.6%,3-7 的中危漏洞占 47.0%,7 以上的高危漏洞占 50.4%:
图 2.2 IPv6 相关漏洞的危害占比情况
低危漏洞 2.6%
高危漏洞 中危漏洞 50.4% 47%
重要观点
**观点一:**2010 年后,IPv6 相关漏洞总体呈现攀升趋势,高危漏洞占比较高,值得持续关注。
**观点二:**在 IPv6 环境中,目前观测到的主要攻击来自于对传输层和应用层漏洞的利用, 传统 IPv4 环境中的安全威胁近期需要关注,IPv6 自身漏洞造成的攻击利用建议长期持续关注。
**观点三:**当前 IPv6 网络环境中,安全威胁主要集中在僵木蠕相关攻击,以及面向 Web 服务和 Web 框架类的攻击,需要进行针对性防御。
**观点四:**运营商、教育机构、事业单位和政府的 IPv6 应用较为广泛,遭受到的攻击也最多,相关 机构需要加强防护。
IPv攻击中的热点类型
据 2019 年上半年的观察,在 IPv6 环境下共出现 186 种不同的攻击告警信息。图 3.1 中列出的是告 警数量 TOP 10 的攻击类型。
图 3.1 IPv6 攻击中的 TOP 10 告警类型
|名称|数量|
|UDP-FLOOD淹没拒绝服务攻击|14210|
|暗云木马服务器通信|12861|
|Webshell 后门访问控制|10865|
|挖矿蠕虫 WannaMine 服务器通信|9979|
|Web 服务 SQL注入攻击|8710|
|勒索病毒 WannaCry 通信|7906|
|门罗币挖矿程序服务器通信|6589|
|Web 服务远程跨站脚本执行攻击|2540|
|PHP 代码执行|2242|
从日志信息看出, IPv6 环境中的攻击大量针对的是网络层之上,例如传输层和应用层的漏洞。黑 客利用的都是一些互联网中比较流行的攻击手段,例如拒绝服务、 Webshell 攻击和僵尸网络通信, 其中影响最大的还是僵木蠕相关攻击。针对图 3.1 中的僵木蠕攻击,将攻击内容与 IPv4 的攻击对比 分析后,发现在 IPv6 和 IPv4 网络环境中,僵尸网络通信采用的方式基本相同,比如对于“挖矿蠕虫 WannaMine 连接 DNS 服务器通信”,都是对域名“ iron.tenchier.com”发起链接请求。这说明在 IPv6 的快速发展同时,传输层和应用层防护方案依然不容忽视。
攻击中的行业分布
为了能够更加清楚的认识 IPv6在国内部署、使用的情况,我们从不同行业来观察 IPv6的情况。图 4.1 中表示了在不同行业中监控到的单位个数。其中的企业部分,包括了国有企业和大型私企。
图 4.1
IPv 攻击中的行业分布
政府,2838,3%
其他,4068,4% 
事业单位,5150,6%
运营商,41884,47%
教育机构,37180,40%
从整体的 IPv6 告警分布看,排名前四为运营商、教育机构、事业单位和政府,其中运营商占据告
警总量最大占 46%,教育行业占 41%,事业单位占 6%,政府占据 3%,其他行业应用 IPv6 只占据很小 的一部分。
在 2018 年国家推出《推进互联网协议第六版(IPv6)规模部署行动计划》后,就一直由政府主导,
推动 IPv6 的部署与监管,那么国家单位,事业单位,政府部门在快速推进 IPv6 应用的同时也更容易遭 受 IPv6 环境下的网络攻击;运营商作为网络运营的基础实施和建设单位,支撑 IPv6 基础建设,成为攻 击者的重点目标之一;而对于教育行业来说,尤其是各大院校, IPv6 的建设走在全国各行业前列,也 更容易成为攻击者的重点目标。
3040
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
