观察发现:互联网上暴露的物联网资产网络地址,根据类型的不同均存在着不同程度的变化,变化数量最稳定的摄像头也有25%的资产网络地址发生变化,变化最大的VoIP电话有80%之多,并且新增和消失的资产数量相当,变化量随着时间的推移缓慢递增。
接下来,我们又统计了有多少物联网资产不发生变化,我们将摄像头的平均扫描周期由3天提升到7天,再对资产变化进行统计,摄像头的资产变化量从25%上升到了45%。此外,我们还发现间隔56天仍有24万左右的摄像头资产从来没有发生过变化。
观察发现:在一定范围内,缩短国内资产平均扫描周期,可以减少资产变化数量;同样有很大一部分物联网资产地址在观测时间内一直都没有变化。
带着上面的两点猜想,接下来我们对资产变化的原因进行分析。
接下来,分别对物联网资产网络地址的C类和B类地址段映射的变化情况进行统计,结果如下图中所示,网段映射变化的比例要远小于网络地址的变化的比例,所以这就验证了之前的猜想,物联网资产的网络地址是在一定的网段内进行变化。
那么为什么会有这么多的物联网资产的地址在变化呢?我们在与运营商事业部的同事交流中得到了答案。目前,由于IPv4地址较少,可以通过动态编址技术和NAT技术达到节约地址的目的。动态编址技术可以通过DHCP来实现,当一个设备连接到网络时,该设备会向DHCP服务器申请租借IP地址。当该设备与网络断开连接时,就会放弃刚才所租借的IP地址,DHCP服务器就可以把该IP地址分配给其他设备了[1],所以我们才看到那么多暴露资产在变化。分析到这里,物联网资产变化的原因也渐渐浮出水面,运营商采用的动态编址技术,导致我们看到的物联网资产网络地址变化。
1. 我们将Location中的链接构造成我们搭建的IPv6的WEB服务地址
2. 向互联网上暴露的UPnP服务的物联网资产IPv4地址发送构造的NOTIFY的包
3. 如果探测的目标主机有IPv6的地址,该设备就会使用其IPv6地址向我们的WEB服务发出请求
4. 这样我们通过解析请求日志,就可以获得相应的IPv6资产地址。
我们使用上述的方法对国内的IP地址持续两周的扫描,共发现1934个IPv6的物联网资产,通过对这些资产进行存活性统计发现,第一天有1934个资产地址存活,第二天剩1331个资产地址存活,到第五天就仅剩42个资产地址存活。从获取到的IPv6物联网资产存活来看,同样有部分IPv6地址采用动态的分配策略,资产的网络地址也在变化中。因为我们拿到的数据有限,所以具体的IPv6地址变化情况,有待于进一步研究。
完整PPT下载链接:
参考链接:
[1].运营商IP地址规划原则:https://wenku.baidu.com/view/bdf41e9367ec102de3bd894b.html
[2]. IPv6 unmasking via UPnP:https://blog.talosintelligence.com/2019/03/ipv6-unmasking-via-upnp.html