誰在掃描我家的 IPv6 地址？首次發(fā)現(xiàn)對內(nèi)網(wǎng)主機(jī)真實IPv6地址的精準(zhǔn)掃描

2018-11-08 10:05:34宋崟川

中國教育網(wǎng)絡(luò) 2018年10期

文/宋崟川

宋崟川先生是美國領(lǐng)英（LinkedIn）的工程師，也是“IPv6 產(chǎn)業(yè)生態(tài)圈”和“IPv6 頭跳讀者群”活躍的技術(shù)型群友之一。他維護(hù)的網(wǎng)站https://IPv6-CN.com 向廣大朋友提供原創(chuàng)和翻譯的 IPv6 資料。

宋崟川先生的家庭網(wǎng)絡(luò)已經(jīng)接入了 IPv6帶寬。9 月 20 日宋先生在微信群里通報：家中路由器的防火墻日志顯示 9 月份有三次（截至本文發(fā)稿時有六次）來自 AWS 云主機(jī)對家庭內(nèi)網(wǎng)主機(jī) IPv6 地址80 端口的精準(zhǔn)掃描。

以下是事件發(fā)生的經(jīng)過，以及宋崟川先生對攻擊事件的深度分析。

在 IPv4 環(huán)境下，對 TCP 和 UDP 的端口掃描非常常見，而且攻擊者經(jīng)常掃描整個網(wǎng)絡(luò)的所有地址。這種肆無忌憚的掃描每分鐘可能有幾十或上百次。

到了 IPv6 的時代，IPv6 一個子網(wǎng)的大小就是整個 IPv4 地址數(shù)量的 232倍，非常不利于攻擊者掃描目標(biāo)網(wǎng)絡(luò)。通常我們認(rèn)為在IPv6上對網(wǎng)段的掃描不會發(fā)生，起碼對于了解 IPv6 的攻擊者來說不會選擇這樣浪費(fèi)時間。

然而在本文的例子中，我們看到了針對家庭寬帶用戶的單個 IPv6 地址的單一端口掃描，為什么會發(fā)生這樣的事情呢？我們作為網(wǎng)絡(luò)的維護(hù)者又應(yīng)該如何保護(hù)好自己，防止受到這種攻擊呢？

網(wǎng)絡(luò)環(huán)境

我家中接入互聯(lián)網(wǎng)的運(yùn)營商是AS7922 美國 Comcast 公司。

使用的路由器是思科 ISR（集成業(yè)務(wù)路由器）。與一般企業(yè)網(wǎng)絡(luò)邊界部署的大型路由器相比，除了吞吐量不同，功能和操作方式上沒有太大區(qū)別，運(yùn)行 Cisco IOS 系統(tǒng)。

此路由器中防火墻功能的配置使用思科的傳統(tǒng) CBAC（基于上下文的訪問控制）模式，通過 ACL 與 inspect 命令跟蹤返回的數(shù)據(jù)包相結(jié)合來實現(xiàn)包過濾防火墻和有狀態(tài)防火墻。

Comcast 使用 DHCP 給我的路由器分配了 1 個 IPv4 地址，使用 DHCPv6-PD （前綴下發(fā)）分配了一個/60 大小的前綴，這樣我最多有 16 個 /64（這是 IPv6 環(huán)境下通行的網(wǎng)絡(luò)前綴長度，適合給一個 VLAN分配）大小的 IPv6 子網(wǎng)。

我為家中的設(shè)備配置了可以通過IPv4和 IPv6 訪問的 DNS 服務(wù)器，這些 DNS 服務(wù)器都可以正常返回一個域名的 A 以及AAAA 記錄。

攻擊記錄

2018年9 月 20 日，在完善家中路由器的防火墻設(shè)置時，我發(fā)現(xiàn)了三條不尋常的日志（本文撰寫時又發(fā)現(xiàn)三條）。

以第一條日志為例，解釋一下各個字段的含義（見表1）：

圖1 攻擊記錄截圖

表1 相關(guān)字段的含義

日志分析

時間

幾次掃描分別發(fā)生在：下午 1∶51，凌晨 1∶00，下午 1∶28，凌晨 4∶47，下午 4∶44，凌晨 4∶19。這些時段我是不會活躍地使用家中網(wǎng)絡(luò)的，可以排除與我的操作直接相關(guān)的實時在線掃描。即這種掃描不是request-response 形式的，而是一種收集與掃描分開的形式。

源地址

這幾次掃描都來自同一個 /64 前綴——2600∶1F18∶6058∶A200∶∶/64，此前綴屬于 AS14618 亞馬遜 AWS EC2 云主機(jī)。

亞馬遜云計算的 IPv6 分配策略如下：AWS VPC 會被分配一個 /56，其中有 256個 /64 的子網(wǎng)可供分配。地址的來源是亞馬遜自己的全球單播地址池。

根據(jù)以上分配策略，很容易得出結(jié)論，這六次掃描是同一個 AWS 賬號所為。

從這幾個源地址的接口標(biāo)識符（IID，即后 64 位）來看，這些主機(jī)的角色并不是服務(wù)器，而是一些使用 SLAAC 獲得前綴自行分配地址的客戶機(jī)。因為服務(wù)器的地址通常是方便人類閱讀和配置，最起碼也是有一定規(guī)律的形式。

目的地址

除了第 1 條日志條目中的目的地址是手工分配的以外（沒有使用 SLAAC，并且此地址對應(yīng)的設(shè)備并不是一直在線）。后面第 2-6 條日志的目的地址所在的子網(wǎng)均開啟了路由器宣告（RA），所以主機(jī)會使用 SLAAC 及其隱私擴(kuò)展生成自己的全球單播 IPv6 地址。

綜上所述，可以排除一直開著的設(shè)備call home 觸發(fā)掃描的可能性。

通常 Windows 和 Mac 都會生成兩個地址，一個叫“ 臨時 IPv6 地址（Temporary IPv6 address ）”，默認(rèn)用于對外發(fā)起連接，一個叫“公有 IPv6 地址（Public IPv6 address )”。

臨時地址的接口標(biāo)識符（即后 64 位）是隨機(jī)生成的，會在較短的時間內(nèi)過期，除非應(yīng)用程序要求使用公有IPv6地址，否則系統(tǒng)默認(rèn)優(yōu)先使用臨時地址對外發(fā)起連接。

公有 IPv6 地址的生命周期有兩種，分別為有效期（Valid Lifetime，30天），優(yōu)選期（Preferred Lifetime，7天）。應(yīng)用程序可以向操作系統(tǒng)請求選擇使用相對穩(wěn)定的公有 IPv6 地址。地址選擇的算法詳見 RFC 6724。

臨時地址的使用不僅能降低此類掃描的風(fēng)險，還能在如今廣告提供商無下限地跟蹤用戶的環(huán)境下盡可能在地址層面保護(hù)用戶的隱私。

目的端口

目的端口都是 80，這也是我一眼能識別出這是掃描而不是正常訪問的依據(jù)，因為我沒有在 80 端口上提供服務(wù)。攻擊者試圖連接 TCP 80 端口（即 HTTP 服務(wù)使用的端口）的行為目前也沒有合適的解釋。

由于我的防火墻對 ICMPv6 是放行且不寫入日志的，所以攻擊者是否先嘗試ping 幾個地址無從得知。

以上對日志的分析，引出了一個新問題：

我家內(nèi)網(wǎng)的IPv6 地址是如何被攻擊者所知曉的？

前面已經(jīng)講到，針對 IPv6 的網(wǎng)絡(luò)掃描，不可能是對一個 /64 內(nèi)的所有地址進(jìn)行掃描，一定是針對單獨(dú) IPv6 地址的掃描，地址的獲得既可以通過猜測，也可以通過采集。

在這個案例中，通過日志中有限的幾個條目，以及目的地址處在兩個不同的/64 子網(wǎng)，完全可以排除攻擊者使用掃描整個網(wǎng)絡(luò)這種愚蠢的方法。

通過對目的地址的分析，可以排除攻擊者猜測一些常見的諸如——“∶∶”, “∶∶1”,“∶∶123”, “∶∶abc”, “∶192∶168∶1∶1”形式作為接口標(biāo)識（IID，后 64 位）的 IPv6 地址。

網(wǎng)絡(luò)中一個使用過/使用中的 GUA IPv6 地址可能出現(xiàn)的位置有：

1.本機(jī)的網(wǎng)絡(luò)接口配置

2.本地應(yīng)用程序日志

3.本機(jī)在 DNS 中的動態(tài)條目

4.應(yīng)用層協(xié)議的 Payload 中嵌入了IPv6 地址

5.路由器/多層交換機(jī)和同網(wǎng)段其他機(jī)器的 ND 緩存

6.DNS 服務(wù)器查詢?nèi)罩?/p>

·DNS 提供商自身的日志

·網(wǎng)絡(luò)中對 DNS 請求的嗅探和劫持

7. NetFlow 導(dǎo)出日志

8.Web 服務(wù)器和應(yīng)用服務(wù)器訪問日志

·所訪問網(wǎng)站的日志泄露

a.一般網(wǎng)站

b.IPv6 測試網(wǎng)站（志愿加入提供服務(wù)，不排除有惡意設(shè)置的服務(wù)器）

·CDN 提供商的訪問日志泄露

9.代理服務(wù)器訪問日志

·未授權(quán) WPAD 代理配置下發(fā)服務(wù)造成客戶端使用攻擊者設(shè)置的代理服務(wù)器

·透明代理和 HTTP 劫持代理的日志泄露

10.交換機(jī)端口鏡像流量

·合法或非法嗅探用戶流量

（以上十條是我個人的總結(jié)，有疏忽和遺漏的地方歡迎大家指正。）

由于 IPv6 端到端的特性，任何一個數(shù)據(jù)包的地址在其整個生命流程中都不大可能被改變。即使有 NPTv6 這種無狀態(tài)修改前綴的設(shè)備在使用，TCP、UDP、ICMP等不依賴 IPv6 地址進(jìn)行認(rèn)證的協(xié)議還是不會給攻擊者造成任何不便。

所以上述任何一個位置如果被攻擊者控制，均會造成客戶端 IPv6 地址落入攻擊者手中，使其可以為進(jìn)一步內(nèi)網(wǎng)滲透做準(zhǔn)備。

目前分析較為可能的是某 Web 服務(wù)器上的日志被有意無意濫用，造成客戶端 IPv6 地址落到攻擊者手中，攻擊者收集了一定量的數(shù)據(jù)后開始對這些地址進(jìn)行了掃描。

發(fā)現(xiàn)基礎(chǔ)設(shè)施的不足之處

1.設(shè)備的 IPv6 地址沒有跟蹤和溯源機(jī)制，事后無從追查當(dāng)時使用某個目的地址的機(jī)器是哪一臺。

2.訪問控制列表中的放行策略也許還是不夠嚴(yán)格，有沒有漏網(wǎng)之魚無從得知。

3.對每一個自內(nèi)而外發(fā)起的連接/會話沒有跟蹤，網(wǎng)絡(luò)上發(fā)生了什么，哪些前綴、哪些協(xié)議、哪些 TCP/UDP 端口比其他的要更活躍，流量都去哪里了……這些基礎(chǔ)網(wǎng)絡(luò)情報都沒有收集，出現(xiàn)問題沒有深入調(diào)查的條件。

4.設(shè)備（此案例中是路由器）的日志僅僅保存在設(shè)備內(nèi)存當(dāng)中，一旦斷電重啟，本文可能不會出現(xiàn)在讀者面前。

如何防范此類攻擊

第一，完善企業(yè)網(wǎng)絡(luò)安全制度。如果IPv4 的安全制度已經(jīng)成熟可靠，則要盡快將其應(yīng)用到IPv6 環(huán)境下。如果 IPv4 下的安全制度缺失，那么在 IPv6 的推廣部署過程中，企業(yè)沒有歷史包袱，就有機(jī)會站在更高的起點(diǎn)上，借鑒行業(yè)內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全策略和實施方案，建立健全企業(yè)網(wǎng)絡(luò)安全規(guī)范制度。

第二，理解并配置 IPv6 防火墻。理解 IPv6 包結(jié)構(gòu)與 IPv4 包的本質(zhì)不同，即 IPv6 包頭是類似鏈表的結(jié)構(gòu)，而IPv4 包頭是層層嵌套結(jié)構(gòu)。使用白名單模式配置防火墻，只放行已知合法的流量及其返回的數(shù)據(jù)包。部署支持IPv6 的IDS/IPS。

第三，主機(jī)的防火墻也應(yīng)該打開，只放行本機(jī)對外必需的服務(wù)。萬物互聯(lián)的時代，應(yīng)用和環(huán)境千差萬別，僅依賴網(wǎng)絡(luò)設(shè)備上的防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。安全是網(wǎng)絡(luò)和應(yīng)用共同協(xié)作的結(jié)果。

第四，企業(yè)環(huán)境中應(yīng)使用有狀態(tài)DHCPv6 為客戶端分配地址，但是不應(yīng)該讓客戶端長時間采用同一個地址，而是應(yīng)該設(shè)置較短的地址生命周期，并采用好的隨機(jī)算法生成客戶端后綴。要完成國家對 IPv6 地址溯源的需求，只需要保留好 DHCPv6服務(wù)器日志，并定期從接入交換機(jī)、AP 上采集 MAC 地址與 IPv6地址的對應(yīng)關(guān)系即可。切不可圖省事，為客戶端分配長久不變的地址。這種做法，為自己的網(wǎng)絡(luò)帶來安全隱患的同時，徹底毀掉了 IPv6 為終端客戶帶來的一點(diǎn)隱私保護(hù)措施。

觀察

宋崟川先生遭遇對內(nèi)網(wǎng)主機(jī)IP地址的精準(zhǔn)掃描，雖然是“第一次發(fā)現(xiàn)”，但是絕對不能說這種情況是 “第一次出現(xiàn)”，因為很可能以前出現(xiàn)了很多次，但是一直沒有被發(fā)現(xiàn)。只是本次比較偶然被發(fā)現(xiàn)。

同時，這種情況不可能僅僅發(fā)生在美國的IPv6網(wǎng)絡(luò)中，中國的IPv6網(wǎng)絡(luò)有沒有遭遇到這種精準(zhǔn)掃描？在沒有確鑿證據(jù)的前提下，我們不敢輕易下結(jié)論。

兩辦《推進(jìn)IPv6規(guī)模部署行動計劃》文件的基本原則里明確要求 “兩并舉、三同步：發(fā)展與安全并舉，網(wǎng)絡(luò)安全要同步規(guī)劃、同步建設(shè)、同步運(yùn)行”。因此各單位的IPv6升級工作，網(wǎng)絡(luò)安全工作必須也要同步進(jìn)行，不能只顧一頭。

隨著三大電信運(yùn)營商和CNGICERNET2開通IPv6網(wǎng)絡(luò)接入服務(wù)，現(xiàn)在一些企業(yè)、教育、IDC和ISP等單位的網(wǎng)絡(luò)已經(jīng)接入了IPv6。但是有幾個問題必須引起足夠的關(guān)注：

（1）已接入IPv6的單位，對IPv6網(wǎng)絡(luò)安全管理是否給予了足夠的重視？是否采取了針對IPv6網(wǎng)絡(luò)安全的必要措施？

（2）升級后的IPv6網(wǎng)絡(luò)是否已經(jīng)妥善配置良好支持IPv6的防火墻、入侵檢測等安全防護(hù)設(shè)備，可以抵御來自IPv6線路的網(wǎng)絡(luò)攻擊？

（3）運(yùn)維人員的技術(shù)能力，是否能滿足IPv6網(wǎng)絡(luò)安全建設(shè)和突發(fā)事件應(yīng)急處置的需要？

這幾個問題，捫心自問，做到了嗎？