物聯網資產暴露“明白賬”公開,你明白了什么?
隨著物聯網應用的蓬勃發展、IPv4地址的耗盡,IPv6普及已成必然趨勢,IPv6網絡上暴露的物聯網資產將成為攻擊者的重點目標,所以能夠對IPv6資產和服務準確的測繪,對于網絡安全具有著重要的意義。
本文介紹了2019年國內、新加坡和日本的IPv4物聯網資產的實際暴露情況,部分的IPv6地址集中的物聯網資產暴露情況。總結了一些IPv6物聯網資產的發現方法,利用地址分布特性從IPv6地址集中測繪的方法,能大大縮小測繪的范圍,使得IPv6測繪變得相對可行。雖然IPv6地址測繪目前還不完美,但可考慮結合主動測繪和被動流量獲取等多種方法,通過持續運營,來不斷積累存活的IPv6資產。隨著物聯網應用的蓬勃發現,IPv6普及已成必然趨勢。面向IPv6的網絡攻擊也定會隨之而來,IPv6網絡地址和服務準確的測繪是物聯網資產信息收集和脆弱性發現的前提和手段,對于后續的物聯網安全具有著重要的意義。
本文只對《2019 物聯網安全年報》的部分章節進行解讀。
一. IPv4物聯網資產實際暴露情況
2019年國內物聯網資產實際的暴露數量共有116萬,其中暴露設備類型最多的是攝像頭。
2018年,互聯網上暴露的資產網絡地址是不斷變化的,使用歷史數據來描繪暴露資產情況,會導致統計結果要高于實際暴露數量,所以某個地區實際的暴露數量,應在較短的時間測繪一個周期后,統計物聯網資產數量更為準確。在2019年11月,我們對國內物聯網資產常用端口進行測繪,共發現116萬暴露的物聯網資產,其中最多的是攝像頭,暴露數量約56萬。如圖 1.1 所示。
圖 1.1 2019年國內IPv4物聯網資產實際暴露情況
報告還介紹了新加坡和日本的物聯網資產實際暴露情況。日本暴露物聯網資產總量約47萬,新加坡暴露物聯網資產總量約28萬。日本物聯網資產暴露情況相較于去年總量變化不大,新加坡的物聯網資產暴露數量相比于去年增加了約40%,這個增長可能與近些年新加坡大力發展物聯網應用有關。
二. IPv6物聯網資產實際暴露情況研究
目前IPv6的資產測繪還是學術難題,國內外相關的研究頁也屬于起步階段,但可啟發式地通過IPv6地址和物聯網服務的一些特性來發現IPv6物聯網資產。從結果看,國內的IPv6物聯網資產數量還是較少,應與我國的IPv6部署還屬于初級階段有關。
IPv6的地址空間過大,IPv6地址數量是IPv4的296倍,如果以IPv4資產發現的方式,在全網段測繪IPv6資產,從時間開銷和資源消耗上都是不切實際的;此外,目前IPv6地址使用的實際數量較少,并且地址分布的隨機性較大,難有針對性的測繪策略發現某網絡中存活的IPv6資產,這也無形增加了測繪難度。所以面向IPv4的地址測繪方法不適用于IPv6網絡。
2.1 從已知IPv6地址集合中發現物聯網資產
我們找到一些可用的IPv6地址集合,通過對這些地址的測繪以及識別來發現物聯網資產。使用的地址集合包括:Hitlist維護的存活IPv6地址,數量約有300萬;綠盟威脅情報中心(NTI)中域名情報映射的IPv6地址集,數量約17億。對物聯網資產常用端口進行測繪,得到的物聯網資產約有8萬,最多的物聯網資產類型是VoIP電話,共有70682個,其次是攝像頭,共有13960個,最后是路由器,共有1549個。
對物聯網資產端口分布情況進行統計,數量較多的主要是VoIP電話開放的5060端口和攝像頭開放的554端口。物聯網資產所在的國家分布情況如圖 1.2 所示,物聯網資產數量最多是德國,其次是荷蘭和美國。
圖 1.2 發現的IPv6物聯網資產國家分布情況
2.2 基于IPv6地址生成特征的啟發式測繪
IPv6地址分布存在一些特點,比如部分地址位隨機、MAC地址嵌入等,我們可以利用這些分布特性,加入一些測繪范圍或限制條件,來降低IPv6地址測繪地址空間。利用MAC地址嵌入的生成規則,以及IEEE提供的廠商ID對照表,就可以通過測繪指定IPv6址區間內某個廠商的地址來縮小測繪范圍,進而縮短測繪時間。因為提供了6位廠商MAC ID以及4位的FFFE,測繪的隨機的地址位從16位下降到6位,要測繪的地址數量就從264-1個下降到218-1,大大縮短了測繪時長。此外,MAC嵌入型的地址測繪,還有助于發現物聯網設備的IPv6地址。通過輸入物聯網智能設備廠商的MAC,測繪存活地址大概率就是物聯網設備。或者通過提取MAC嵌入地址中的MAC地址,并匹配廠商信息,有助于對資產的設備類型進行識別。
2.3 基于UPnP雙棧服務的啟發式測繪
除了上述的使用地址組成特征測繪的方法以外,還可以利用UPnP服務發現IPv6物聯網資產。UPnP是用來實現局域網中各類設備互通互連的協議集合,但因為錯誤配置,很多UPnP服務暴露在互聯網上。我們利用這個協議的一些特性,就可以發現一些暴露的、同時運行IPv4和IPv6雙棧服務的物聯網資產。對全球1900端口的IPv4資產進行分析,去重后發現全球的雙棧資產數量為27,642個,其中有27,150個是MAC嵌入型地址。雙棧資產數量最多的地區是中國,共有15,538個資產;其次是越南,共有5,372個資產。
圖 1.3 通過UPnP發現的雙棧資產的地理位置分布
我們發現的雙棧地址幾乎都是MAC地址嵌入型,所以可以先解析IPv6地址中的MAC,再通過MAC地址的廠商ID號,就可以查詢到相關的廠商信息。對MAC地址做去重處理后,共有11,606個設備,具體的廠商分布情況如圖 1.4 所示,幾乎都是物聯網廠商的設備,其中物聯網廠商A的暴露數量最多。
圖 1.4 發現的雙棧資產廠商分布情況
更詳盡的關于物聯網資產的描述,可點擊下載報告完整版
