IP是互联网身份的标识,对于一般人来说,它是设备联网之后,就会被分配的地址。但在黑灰产手里,对IP的利用几乎超出我们的想象。它凭借黑色产业的强大需求已卧居在黑暗市场多年。
和一般常见的网络攻击工具不一样,IP是不具备病毒的杀伤力,也没有破坏力,但是却是黑产活动不可或缺的资源支撑,能够让恶意注册、刷量、薅羊毛、撞库等恶意行为顺利进行。
IP地址分为IPV4和IPV6。IPv4由32个二进制位组成,空间里面有2^32(约43亿)个地址,其中约有2.8亿的地址是为特殊用途所保留的。和IPv4相比,IPv6由128个二进制位组成,拥有2^128(约3.4×10^38)个地址,是IPv4的7.9×10^28倍,庞大的地址空间几乎接近无限,被十分形象的称为可以为全世界的每一粒沙子分配一个地址。
IPv6的地址空间远超当前IPv4,也意味着黑灰产掌握的IP资源体量也将无限扩大,他们将有能力为每个恶意账号独立使用一个IP。以往在对抗过程中积累下的风控策略,具备的完备IPv4安全体系,在IPv6规模化普及后将面临新的挑战。
网络发展,安全先行。通过IP数据云可以查IPV4和IPV6的宿主信息,企业通过IP地址查询,规避恶意IP地址,减少不必要损失。
由市场强大需求带动的IP资源发展,已经成为黑灰产业链上的重要环节,专门提供IP资源的黑灰产团伙也随之产生。
黑产IP有哪些?
1、秒拨IP是黑灰产掌握的另一主要IP资源,并且,现在已有部分秒拨厂商开始支持并提供IPv6的服务。
我们对从秒拨机器上获取的IPv6地址进行分析,发现它的性质属于国内家庭宽带,利用拨号上网(PPPoE)的原理,每一次断线重连都会获取一个新的IP。和IPv4的秒拨性质类似,但比IPv4更具优势的地方在于,它的IP池庞大到接近无限,并且IP地址更难以识别的问题。
2、无限IP池,假设某秒拨机上的宽带资源属于XX地区电信运营商,那么该秒拨机可拨到整个XX地区电信IP池中的IP,在IPv4环境下具有少则十万多则百万的量级。而IPv6环境下,量级巨大,难以估计。我们对某一批IPv6地址进行重复性统计,监测到的10万数据中几乎不存在重复的IPv6地址,而实际的IPv6秒拨池中,远不止这个数。这意味着,传统的利用IP黑名单库给IP打风险标签的方式将不再适用。
发展基于IPv6的下一代互联网,看似取之不尽的IP资源的确为当前逐渐枯竭的IPv4带来了救赎,但不容忽视的也恰是“取之不尽”背后潜藏的安全隐患。从上述数据我们可以推测,黑灰产对IPv6的利用情况很大程度上和普及度相关。
我们有理由相信,当越来越多的国内网站支持IPv6,并且功能性和稳定性趋于完善后,基于IPv4的攻防战场势必会向IPv6转移,对于所有的技术和安全人员,在保障技术稳定升级的同时,安全性问题的考量同等重要。IP数据云作为网络安全行业的先行者,已投入大量人力和资源在IP黑产资源的研究上,并已积累实时IP风险数据,期望能帮到企业。