IPv中的地域分布

據 2019 年上半年
觀察，在我國多省都已經觀測到使用 IPv6 地址進行的攻擊行為，涉及攻擊類型 167 種，覆蓋 20 多個省份。數量分布如下圖所示（IPv4 告警數據量進行了 900：1 的比例收縮）：圖 5.1 IPv6 與 IPv4 地址各省受攻擊情況
浙江 北京 廣東 江蘇 福建 陜西 安徽 山東 上海 河北 海南 湖北 重慶 河南 西藏 天津 廣西 遼寧 湖南 貴州 江西 新疆 寧夏 青海
黑龍江 內蒙古
上圖的橫坐標代表不同省份，縱坐標代表告警數量。先從各省節點對 IPv6的監控情況看，廣東、北京、 浙江等地，有大范圍收到 IPv6 地址范圍的攻擊。從之后的數據可以看出，這幾個地區的院校單位大量 采用 IPv6 地址。導致這些地區會有更多的 IPv6 相關的告警數量。圖 5.1 給出了 2019 上半年 IPv4 與 IPv6 的告警數量對比概覽。由于 IPv4 告警數量很多，我們將 IPv4 告警數量進行了 900：1 的比例收縮 后，再與 IPv6 的告警數量做對比。圖 5.1 看出， IPv6 和 IPv4 環境中的告警數量整體分布基本保持一致。 IT建設更好的四大經濟強省，浙江、北京，廣東和江蘇都位于前列。通過上圖分析可知：

已有一些黑客和攻擊組織開始使用 IPv6 進行攻擊，未來有可能成為大規模攻擊的風險，當然數 據也許與各地 IPv6 建設速度有關系。

上圖反映了各省市已經開始建設 IPv6 基礎設施
，并且均不同程度遭受到安全攻擊，打破了長期 以來對 IPv6 安全的忽視，未來 IPv6 極可能需要盡快建設安全檢測與防御體系，減少危害。在 2019 年上半年的告警數據中，針對來自于國外的攻擊進行分析，具體分布情況如圖 5.2 所示， 占據前四位的國家是瑞士（ 53.2%），羅馬尼亞（ 20%），美國（11.2%），馬來西亞（ 7.2%），其他 國家相對占比比較少，占比 3.2%。結合 Akamai 公司 IPv6 采用情況可化結果以及 2017 年度的 IPv6
報告 ① ②，我們可以發現告警數量排名前四的國家在國內 IPv6 覆蓋度上均在全球名列前 40，其中，美國 排名第二（48%），馬來西亞排名第 6（39.3%），瑞士排名第 23（21.7%），羅馬尼亞排名第 37（13.1%）， 同時在國內 IPv6 流量占比上美國（ 22%）和瑞士（ 21%）都在全球排名前五?？梢钥闯?#xff0c; IPv6 應用的 成熟度
一定程度上影響了攻擊者對 IPv6 的選擇。圖 5.2 IPv6 攻擊源位于國外的告警分布
瑞士 1832 羅馬尼亞 859
美國 398
馬來西亞 249
日本 41
立陶宛 22
法國 14
俄羅斯 11
荷蘭 7
德國 11
英國 5
下面我們將分為兩個小節描述國內外攻擊詳情。

國內分析

接下來基于 2019 年上半年的網絡安全觀察，對國內 IPv6 攻擊的影響面做進一步的分析。從攻擊目 標行業分布來看，目的 IP 集中于運營商，高校及大型跨國企業，分布如下圖所示。
圖 5.3 國內目的地址分布
國內目的地址分布
中國***城域網 17423 **學院 15412
中國*****城域網 12757
****大學 5443
中國***** 3664 *****有限公司 2269
中國****平臺 2089 ****大學 2043
**學院 660
**大學 540
*****網 536
*****專線 358
****大學 283
**學院 282
*****有限公司 262
從上圖看，目標位于運營商城域網的 IPv6 日志情況要明顯多于其他的單位，占日志量的 54.4%，超 過一半的比例。其次是一些高校和大型企業的日志信息。從攻擊目標波及的單位數量來看，高校是最多的， 這也和各大高校較早推進 IPv6 建設有關。針對這些高校收到的攻擊進行分析，這些高?？偣彩艿搅?54 種不同的攻擊，其中 Top10 分布如下。從告警中可以看出，在 IPv6 環境下，攻擊者針對高校的攻擊， 往往是面向 Web 服務和數據庫服務，企圖獲取服務器權限和進行遠程命令執行，危害高校的 Web 服務 安全和數據安全。
圖 5.4 攻擊目標為高校的 Top10 攻擊事件
|名稱|數量|
|Webshell 后門訪問控制|2674|
|遠程 SQL注入攻擊|829|
|Webshell 腳本文件上傳攻擊|725|
|FCKEditor 任意文件上傳漏洞|678|
|Web 服務遠程跨站腳本執行攻擊|637|
|PHP 代碼執行漏洞|529|
|HTTP 服務目錄遍歷漏洞|404|
|ThinkPHP 5.x 遠程命令執行漏洞|255|
|HTTP 命令注入攻擊|194|
|Microsoft IIS 錯誤解析遠程代碼執行漏洞|104|
針對大型互聯網廠商主要攻擊事件監控結果，可以看出，情況與高校類似， Web 服務和數據庫服務 也是攻擊的重點。
圖 5.5 攻擊目標為互聯網廠商攻擊事件 Top5
|名稱|數量|
|Web 服務遠程跨站腳本執行攻擊|707|
|PHP 代碼執行漏洞|284|
|Web 服務遠程 SQL注入攻擊行為|180|
|Java 代碼執行漏洞|57|
|Ruby on Rails 嵌套參數 SQL注入漏洞|6|
從攻擊源分布的角度，我們對一些主要行業，高校和運營商，做了重點分析。下圖給出了一些高校 中基于 IPv6 的告警情況，其橫坐標表示的是不同高校，縱坐標表示告警次數。
圖 5.6 攻擊源位于高校的告警情況
**學院 **學院
****大學 ****大學
****職業學院 ****化工學院
****職業技術學院
下面以某學院為例 ,分析一下針對高校中采用的攻擊手法
圖 5.7 某學院中的攻擊源告警情況
|名稱|數量|
|挖礦病毒 Xmrig 通信|502|
|挖礦程序門羅幣服務器通信|308|
|挖礦蠕蟲 WannMine 服務器通信|105|
|惡意程序 PowerGhost 服務器通信|62|
從上圖可以看出，該學院的告警主要源自于惡意程序與外部通信連接行為。在這種情況下，攻擊源 往往都是受感染主機。 IPv6 環境下的僵木蠕攻擊在現階段還是主要集中于挖礦行為。比如門羅幣挖礦 主要通過“ minexmr.com”和“minergate.com ”等地址與服務器通信連接。而這些服務地址已經由綠 盟情報平臺給出了其詳細關聯分析內容，如下：
圖 5.8 門羅幣挖礦相關情報
從攻擊動機來看，高校中產生的大量 IPv6 源地址，并非意圖主動向外部發起攻擊，更多是屬于受 害者主動外連，真正危害的還是高校自身的安全。
針對攻擊源地址位于三大運營商的情況，我們也做了相應的分析，分布如下圖所示。從節點監控結 果來看，攻擊事件主要集中于僵木蠕攻擊、 Web 服務及 Web 框架類攻擊和基于暴力攻擊等行為，經過 分析，運營商的情況和高?；鞠嗤?#xff0c;不再贅述。攻擊者已經開始針對運營商的 IPv6 基礎設施發起攻擊。 運營商作為網絡建設的推動者，在 IPv6 建設中起到關鍵作用，運營商的安全建設更是需要同步推進， 基礎通信設施和 IDC基礎設施的防護工作更要提高安全防護等級。
圖 5.9 攻擊源位于運營商的告警數量分布運營商源地址分布
移動，22512，35%
電信，39470，61%
聯通，2858，4%

參考資料

綠盟 IPv6環境下的網絡安全觀察報告

友情鏈接

GB-T 25067-2016 信息技術 安全技術 信息安全管理體系-審核和認證機構要求

總結

以上是生活随笔為你收集整理的IPv中的地域分布的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。