文/宋崟川

宋崟川先生是美國(guó)領(lǐng)英（LinkedIn）的工程師，也是“IPv6 產(chǎn)業(yè)生態(tài)圈”和“IPv6 頭跳讀者群”活躍的技術(shù)型群友之一。他維護(hù)的網(wǎng)站https://IPv6-CN.com 向廣大朋友提供原創(chuàng)和翻譯的 IPv6 資料。

宋崟川先生的家庭網(wǎng)絡(luò)已經(jīng)接入了 IPv6帶寬。9 月 20 日宋先生在微信群里通報(bào)：家中路由器的防火墻日志顯示 9 月份有三次（截至本文發(fā)稿時(shí)有六次）來自 AWS 云主機(jī)對(duì)家庭內(nèi)網(wǎng)主機(jī) IPv6 地址80 端口的精準(zhǔn)掃描。

以下是事件發(fā)生的經(jīng)過，以及宋崟川先生對(duì)攻擊事件的深度分析。

在 IPv4 環(huán)境下，對(duì) TCP 和 UDP 的端口掃描非常常見，而且攻擊者經(jīng)常掃描整個(gè)網(wǎng)絡(luò)的所有地址。這種肆無忌憚的掃描每分鐘可能有幾十或上百次。

到了 IPv6 的時(shí)代，IPv6 一個(gè)子網(wǎng)的大小就是整個(gè) IPv4 地址數(shù)量的 232倍，非常不利于攻擊者掃描目標(biāo)網(wǎng)絡(luò)。通常我們認(rèn)為在IPv6上對(duì)網(wǎng)段的掃描不會(huì)發(fā)生，起碼對(duì)于了解 IPv6 的攻擊者來說不會(huì)選擇這樣浪費(fèi)時(shí)間。

然而在本文的例子中，我們看到了針對(duì)家庭寬帶用戶的單個(gè) IPv6 地址的單一端口掃描，為什么會(huì)發(fā)生這樣的事情呢？我們作為網(wǎng)絡(luò)的維護(hù)者又應(yīng)該如何保護(hù)好自己，防止受到這種攻擊呢？

網(wǎng)絡(luò)環(huán)境

我家中接入互聯(lián)網(wǎng)的運(yùn)營(yíng)商是AS7922 美國(guó) Comcast 公司。

使用的路由器是思科 ISR（集成業(yè)務(wù)路由器）。與一般企業(yè)網(wǎng)絡(luò)邊界部署的大型路由器相比，除了吞吐量不同，功能和操作方式上沒有太大區(qū)別，運(yùn)行 Cisco IOS 系統(tǒng)。

此路由器中防火墻功能的配置使用思科的傳統(tǒng) CBAC（基于上下文的訪問控制）模式，通過 ACL 與 inspect 命令跟蹤返回的數(shù)據(jù)包相結(jié)合來實(shí)現(xiàn)包過濾防火墻和有狀態(tài)防火墻。

Comcast 使用 DHCP 給我的路由器分配了 1 個(gè) IPv4 地址，使用 DHCPv6-PD （前綴下發(fā)）分配了一個(gè)/60 大小的前綴，這樣我最多有 16 個(gè) /64（這是 IPv6 環(huán)境下通行的網(wǎng)絡(luò)前綴長(zhǎng)度，適合給一個(gè) VLAN分配）大小的 IPv6 子網(wǎng)。

我為家中的設(shè)備配置了可以通過IPv4和 IPv6 訪問的 DNS 服務(wù)器，這些 DNS 服務(wù)器都可以正常返回一個(gè)域名的 A 以及AAAA 記錄。

攻擊記錄

2018年9 月 20 日，在完善家中路由器的防火墻設(shè)置時(shí)，我發(fā)現(xiàn)了三條不尋常的日志（本文撰寫時(shí)又發(fā)現(xiàn)三條）。

以第一條日志為例，解釋一下各個(gè)字段的含義（見表1）：

圖1 攻擊記錄截圖

表1 相關(guān)字段的含義

日志分析

時(shí)間

幾次掃描分別發(fā)生在：下午 1∶51，凌晨 1∶00，下午 1∶28，凌晨 4∶47，下午 4∶44，凌晨 4∶19。這些時(shí)段我是不會(huì)活躍地使用家中網(wǎng)絡(luò)的，可以排除與我的操作直接相關(guān)的實(shí)時(shí)在線掃描。即這種掃描不是request-response 形式的，而是一種收集與掃描分開的形式。

源地址

這幾次掃描都來自同一個(gè) /64 前綴——2600∶1F18∶6058∶A200∶∶/64，此前綴屬于 AS14618 亞馬遜 AWS EC2 云主機(jī)。

亞馬遜云計(jì)算的 IPv6 分配策略如下：AWS VPC 會(huì)被分配一個(gè) /56，其中有 256個(gè) /64 的子網(wǎng)可供分配。地址的來源是亞馬遜自己的全球單播地址池。

根據(jù)以上分配策略，很容易得出結(jié)論，這六次掃描是同一個(gè) AWS 賬號(hào)所為。

從這幾個(gè)源地址的接口標(biāo)識(shí)符（IID，即后 64 位）來看，這些主機(jī)的角色并不是服務(wù)器，而是一些使用 SLAAC 獲得前綴自行分配地址的客戶機(jī)。因?yàn)榉?wù)器的地址通常是方便人類閱讀和配置，最起碼也是有一定規(guī)律的形式。

目的地址

除了第 1 條日志條目中的目的地址是手工分配的以外（沒有使用 SLAAC，并且此地址對(duì)應(yīng)的設(shè)備并不是一直在線）。后面第 2-6 條日志的目的地址所在的子網(wǎng)均開啟了路由器宣告（RA），所以主機(jī)會(huì)使用 SLAAC 及其隱私擴(kuò)展生成自己的全球單播 IPv6 地址。

綜上所述，可以排除一直開著的設(shè)備call home 觸發(fā)掃描的可能性。

通常 Windows 和 Mac 都會(huì)生成兩個(gè)地址，一個(gè)叫“ 臨時(shí) IPv6 地址（Temporary IPv6 address ）”，默認(rèn)用于對(duì)外發(fā)起連接，一個(gè)叫“公有 IPv6 地址（Public IPv6 address )”。

臨時(shí)地址的接口標(biāo)識(shí)符（即后 64 位）是隨機(jī)生成的，會(huì)在較短的時(shí)間內(nèi)過期，除非應(yīng)用程序要求使用公有IPv6地址，否則系統(tǒng)默認(rèn)優(yōu)先使用臨時(shí)地址對(duì)外發(fā)起連接。

到了 IPv6 的時(shí)代，IPv6 一個(gè)子網(wǎng)的大小就是整個(gè) IPv4 地址數(shù)量的 232倍，非常不利于攻擊者掃描目標(biāo)網(wǎng)絡(luò)。通常我們認(rèn)為在IPv6上對(duì)網(wǎng)段的掃描不會(huì)發(fā)生，起碼對(duì)于了解 IPv6 的攻擊者來說不會(huì)選擇這樣浪費(fèi)時(shí)間。

公有 IPv6 地址的生命周期有兩種，分別為有效期（Valid Lifetime，30天），優(yōu)選期（Preferred Lifetime，7天）。應(yīng)用程序可以向操作系統(tǒng)請(qǐng)求選擇使用相對(duì)穩(wěn)定的公有 IPv6 地址。地址選擇的算法詳見 RFC 6724。

臨時(shí)地址的使用不僅能降低此類掃描的風(fēng)險(xiǎn)，還能在如今廣告提供商無下限地跟蹤用戶的環(huán)境下盡可能在地址層面保護(hù)用戶的隱私。

目的端口

目的端口都是 80，這也是我一眼能識(shí)別出這是掃描而不是正常訪問的依據(jù)，因?yàn)槲覜]有在 80 端口上提供服務(wù)。攻擊者試圖連接 TCP 80 端口（即 HTTP 服務(wù)使用的端口）的行為目前也沒有合適的解釋。

由于我的防火墻對(duì) ICMPv6 是放行且不寫入日志的，所以攻擊者是否先嘗試ping 幾個(gè)地址無從得知。

以上對(duì)日志的分析，引出了一個(gè)新問題：

我家內(nèi)網(wǎng)的IPv6 地址是如何被攻擊者所知曉的？

前面已經(jīng)講到，針對(duì) IPv6 的網(wǎng)絡(luò)掃描，不可能是對(duì)一個(gè) /64 內(nèi)的所有地址進(jìn)行掃描，一定是針對(duì)單獨(dú) IPv6 地址的掃描，地址的獲得既可以通過猜測(cè)，也可以通過采集。

在這個(gè)案例中，通過日志中有限的幾個(gè)條目，以及目的地址處在兩個(gè)不同的/64 子網(wǎng)，完全可以排除攻擊者使用掃描整個(gè)網(wǎng)絡(luò)這種愚蠢的方法。

通過對(duì)目的地址的分析，可以排除攻擊者猜測(cè)一些常見的諸如——“∶∶”, “∶∶1”,“∶∶123”, “∶∶abc”, “∶192∶168∶1∶1”形式作為接口標(biāo)識(shí)（IID，后 64 位）的 IPv6 地址。

網(wǎng)絡(luò)中一個(gè)使用過/使用中的 GUA IPv6 地址可能出現(xiàn)的位置有：

1.本機(jī)的網(wǎng)絡(luò)接口配置

2.本地應(yīng)用程序日志

3.本機(jī)在 DNS 中的動(dòng)態(tài)條目

4.應(yīng)用層協(xié)議的 Payload 中嵌入了IPv6 地址

5.路由器/多層交換機(jī)和同網(wǎng)段其他機(jī)器的 ND 緩存

6.DNS 服務(wù)器查詢?nèi)罩?/p>

·DNS 提供商自身的日志

·網(wǎng)絡(luò)中對(duì) DNS 請(qǐng)求的嗅探和劫持

7. NetFlow 導(dǎo)出日志

8.Web 服務(wù)器和應(yīng)用服務(wù)器訪問日志

·所訪問網(wǎng)站的日志泄露

a.一般網(wǎng)站

b.IPv6 測(cè)試網(wǎng)站（志愿加入提供服務(wù)，不排除有惡意設(shè)置的服務(wù)器）

·CDN 提供商的訪問日志泄露

9.代理服務(wù)器訪問日志

·未授權(quán) WPAD 代理配置下發(fā)服務(wù)造成客戶端使用攻擊者設(shè)置的代理服務(wù)器

·透明代理和 HTTP 劫持代理的日志泄露

10.交換機(jī)端口鏡像流量

·合法或非法嗅探用戶流量

（以上十條是我個(gè)人的總結(jié)，有疏忽和遺漏的地方歡迎大家指正。）

由于 IPv6 端到端的特性，任何一個(gè)數(shù)據(jù)包的地址在其整個(gè)生命流程中都不大可能被改變。即使有 NPTv6 這種無狀態(tài)修改前綴的設(shè)備在使用，TCP、UDP、ICMP等不依賴 IPv6 地址進(jìn)行認(rèn)證的協(xié)議還是不會(huì)給攻擊者造成任何不便。

所以上述任何一個(gè)位置如果被攻擊者控制，均會(huì)造成客戶端 IPv6 地址落入攻擊者手中，使其可以為進(jìn)一步內(nèi)網(wǎng)滲透做準(zhǔn)備。

目前分析較為可能的是某 Web 服務(wù)器上的日志被有意無意濫用，造成客戶端 IPv6 地址落到攻擊者手中，攻擊者收集了一定量的數(shù)據(jù)后開始對(duì)這些地址進(jìn)行了掃描。

發(fā)現(xiàn)基礎(chǔ)設(shè)施的不足之處

1.設(shè)備的 IPv6 地址沒有跟蹤和溯源機(jī)制，事后無從追查當(dāng)時(shí)使用某個(gè)目的地址的機(jī)器是哪一臺(tái)。

2.訪問控制列表中的放行策略也許還是不夠嚴(yán)格，有沒有漏網(wǎng)之魚無從得知。

3.對(duì)每一個(gè)自內(nèi)而外發(fā)起的連接/會(huì)話沒有跟蹤，網(wǎng)絡(luò)上發(fā)生了什么，哪些前綴、哪些協(xié)議、哪些 TCP/UDP 端口比其他的要更活躍，流量都去哪里了……這些基礎(chǔ)網(wǎng)絡(luò)情報(bào)都沒有收集，出現(xiàn)問題沒有深入調(diào)查的條件。

4.設(shè)備（此案例中是路由器）的日志僅僅保存在設(shè)備內(nèi)存當(dāng)中，一旦斷電重啟，本文可能不會(huì)出現(xiàn)在讀者面前。

如何防范此類攻擊

第一，完善企業(yè)網(wǎng)絡(luò)安全制度。如果IPv4 的安全制度已經(jīng)成熟可靠，則要盡快將其應(yīng)用到IPv6 環(huán)境下。如果 IPv4 下的安全制度缺失，那么在 IPv6 的推廣部署過程中，企業(yè)沒有歷史包袱，就有機(jī)會(huì)站在更高的起點(diǎn)上，借鑒行業(yè)內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全策略和實(shí)施方案，建立健全企業(yè)網(wǎng)絡(luò)安全規(guī)范制度。

第二，理解并配置 IPv6 防火墻。理解 IPv6 包結(jié)構(gòu)與 IPv4 包的本質(zhì)不同，即 IPv6 包頭是類似鏈表的結(jié)構(gòu)，而IPv4 包頭是層層嵌套結(jié)構(gòu)。使用白名單模式配置防火墻，只放行已知合法的流量及其返回的數(shù)據(jù)包。部署支持IPv6 的IDS/IPS。

第三，主機(jī)的防火墻也應(yīng)該打開，只放行本機(jī)對(duì)外必需的服務(wù)。萬物互聯(lián)的時(shí)代，應(yīng)用和環(huán)境千差萬別，僅依賴網(wǎng)絡(luò)設(shè)備上的防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。安全是網(wǎng)絡(luò)和應(yīng)用共同協(xié)作的結(jié)果。

第四，企業(yè)環(huán)境中應(yīng)使用有狀態(tài)DHCPv6 為客戶端分配地址，但是不應(yīng)該讓客戶端長(zhǎng)時(shí)間采用同一個(gè)地址，而是應(yīng)該設(shè)置較短的地址生命周期，并采用好的隨機(jī)算法生成客戶端后綴。要完成國(guó)家對(duì) IPv6 地址溯源的需求，只需要保留好 DHCPv6服務(wù)器日志，并定期從接入交換機(jī)、AP 上采集 MAC 地址與 IPv6地址的對(duì)應(yīng)關(guān)系即可。切不可圖省事，為客戶端分配長(zhǎng)久不變的地址。這種做法，為自己的網(wǎng)絡(luò)帶來安全隱患的同時(shí)，徹底毀掉了 IPv6 為終端客戶帶來的一點(diǎn)隱私保護(hù)措施。

觀察

宋崟川先生遭遇對(duì)內(nèi)網(wǎng)主機(jī)IP地址的精準(zhǔn)掃描，雖然是“第一次發(fā)現(xiàn)”，但是絕對(duì)不能說這種情況是 “第一次出現(xiàn)”，因?yàn)楹芸赡芤郧俺霈F(xiàn)了很多次，但是一直沒有被發(fā)現(xiàn)。只是本次比較偶然被發(fā)現(xiàn)。

同時(shí)，這種情況不可能僅僅發(fā)生在美國(guó)的IPv6網(wǎng)絡(luò)中，中國(guó)的IPv6網(wǎng)絡(luò)有沒有遭遇到這種精準(zhǔn)掃描？在沒有確鑿證據(jù)的前提下，我們不敢輕易下結(jié)論。

兩辦《推進(jìn)IPv6規(guī)模部署行動(dòng)計(jì)劃》文件的基本原則里明確要求 “兩并舉、三同步：發(fā)展與安全并舉， 網(wǎng)絡(luò)安全要同步規(guī)劃、同步建設(shè)、同步運(yùn)行”。因此各單位的IPv6升級(jí)工作，網(wǎng)絡(luò)安全工作必須也要同步進(jìn)行，不能只顧一頭。

隨著三大電信運(yùn)營(yíng)商和CNGICERNET2開通IPv6網(wǎng)絡(luò)接入服務(wù)，現(xiàn)在一些企業(yè)、教育、IDC和ISP等單位的網(wǎng)絡(luò)已經(jīng)接入了IPv6。但是有幾個(gè)問題必須引起足夠的關(guān)注：

（1）已接入IPv6的單位，對(duì)IPv6網(wǎng)絡(luò)安全管理是否給予了足夠的重視？是否采取了針對(duì)IPv6網(wǎng)絡(luò)安全的必要措施？

（2）升級(jí)后的IPv6網(wǎng)絡(luò)是否已經(jīng)妥善配置良好支持IPv6的防火墻、入侵檢測(cè)等安全防護(hù)設(shè)備，可以抵御來自IPv6線路的網(wǎng)絡(luò)攻擊？

（3）運(yùn)維人員的技術(shù)能力，是否能滿足IPv6網(wǎng)絡(luò)安全建設(shè)和突發(fā)事件應(yīng)急處置的需要？

這幾個(gè)問題，捫心自問，做到了嗎？

IPv6網(wǎng)絡(luò)有很多新的特性，將會(huì)產(chǎn)生很多新的網(wǎng)絡(luò)安全場(chǎng)景，這些場(chǎng)景與IPv4網(wǎng)絡(luò)并不一樣，所需的防護(hù)策略也會(huì)不一樣。但是，無論IPv6還是IPv4 ，網(wǎng)絡(luò)安全在本質(zhì)上并沒有根本變化，最關(guān)鍵的問題是網(wǎng)絡(luò)管理者的安全意識(shí)、安全措施、應(yīng)急方案和技術(shù)人員的應(yīng)急處置能力，這些是一切網(wǎng)絡(luò)安全運(yùn)維的核心。