一�����、方案背景
全球?qū)P地址的需求持續(xù)快速增長�����,基于IPv6的下一代互聯(lián)網(wǎng)成為各國推動(dòng)新科技產(chǎn)業(yè)的主導(dǎo)�����。由于IPv6地址數(shù)遠(yuǎn)遠(yuǎn)大于IPv4地址數(shù)����,IPv4環(huán)境的廣譜掃描、探測類的技術(shù)無法直接應(yīng)用于IPv6環(huán)境����,尋求新的解決方案來實(shí)現(xiàn)IPv6環(huán)境的掃描����、探測等�,以確保安全性的前提下推動(dòng)IPv6的大規(guī)模應(yīng)用是某移動(dòng)公司需要探索的重點(diǎn)�。
二、需求痛點(diǎn)
目前國家正在大力推動(dòng)IPv6網(wǎng)絡(luò)的部署����,某移動(dòng)公司在全面升級IPv6環(huán)境,隨著云計(jì)算�����、5G�、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等數(shù)字化技術(shù)的應(yīng)用�,IPv6網(wǎng)絡(luò)所承載的應(yīng)用越來越多,導(dǎo)致IPv6資產(chǎn)數(shù)量激增����,傳統(tǒng)以IPv4網(wǎng)絡(luò)下統(tǒng)計(jì)的資產(chǎn)臺(tái)賬已不適用。
對某移動(dòng)公司IPv6環(huán)境下全量網(wǎng)絡(luò)資產(chǎn)進(jìn)行存活探測����,在爆發(fā)大規(guī)模安全問題發(fā)生時(shí),要求能夠精確定位發(fā)生安全事件的資產(chǎn)�,快速的進(jìn)行漏洞驗(yàn)證實(shí)現(xiàn)封堵。
三����、解決方案
基于某移動(dòng)公司對IPv6資產(chǎn)當(dāng)前痛點(diǎn)需求����,要考慮IPv6網(wǎng)絡(luò)資產(chǎn)探測系統(tǒng)考慮探測的全面性����、高效性、IPv6適應(yīng)性以及應(yīng)用性等�,設(shè)計(jì)思路如下:
- 全量資產(chǎn):設(shè)計(jì)納管企業(yè)全量資產(chǎn),包括但不限于硬件設(shè)備�����、云主機(jī)��、操作系統(tǒng)�����、IP地址���、端口、證書����、域名����、Web應(yīng)用�����、業(yè)務(wù)應(yīng)用���、中間件�����、框架��、機(jī)構(gòu)公眾號���、小程序、App����、API等;
- 高速防溯源:設(shè)計(jì)采用基于DPDK的無狀態(tài)防溯源高速探測引擎���,研究用戶態(tài)協(xié)議棧及動(dòng)態(tài)優(yōu)化發(fā)包策略��,實(shí)現(xiàn)低帶寬條件下的高速發(fā)包�����,同時(shí)探測目標(biāo)切片離散化�����、源IP和端口離散化���,模擬正?����?蛻舳嗽L問�,防止溯源和被攔截��;另采用編排和切片技術(shù)��,存活探測�、指紋探測、深度識別、PoC探測等同步進(jìn)行�����,結(jié)果回?cái)?shù)據(jù)中心再進(jìn)行組裝�,確保探測任務(wù)的順利進(jìn)行����。
- IPv6環(huán)境:研究應(yīng)用IPv6海量地址空間IPv6存活地址智能預(yù)測分析算法,快速探測并驗(yàn)證IPv6存活地址���,建立并實(shí)時(shí)更新IPv6存活地址庫���,確保IPv6網(wǎng)絡(luò)環(huán)境資產(chǎn)及其漏洞等的快速高效探測發(fā)現(xiàn)。
- 專題分析:針對不同時(shí)期的不同緊急事件發(fā)生需求���,提供專題探測和分析(如攝像頭探測�����、0Day漏洞影響探測�����、挖礦專項(xiàng)探測�、Log4j2分布探測等),滿足不同應(yīng)用場景需求�。
基于IPv6環(huán)境下網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)研發(fā)應(yīng)用實(shí)施后,可全面探測發(fā)現(xiàn)某移動(dòng)公司IPv6環(huán)境下暴露面資產(chǎn)及其脆弱性����,以便針對性地進(jìn)行安全防護(hù),繪制IPv6網(wǎng)絡(luò)資產(chǎn)及其脆弱性地圖����,構(gòu)建面向某移動(dòng)公司所轄范圍內(nèi)IPv6網(wǎng)絡(luò)空間地圖能力。
四��、實(shí)際應(yīng)用
本期工程通過建設(shè)IPv6網(wǎng)絡(luò)空間資產(chǎn)測繪平臺(tái)�����,主要功能包括IPv6資產(chǎn)可視化���、IPv6資產(chǎn)服務(wù)�、資產(chǎn)數(shù)據(jù)分析��、IPv6資源庫等��,進(jìn)一步提升某移動(dòng)公司的整體IPv6資產(chǎn)發(fā)現(xiàn)能力。系統(tǒng)功能架構(gòu)如下圖所示:
IPv6網(wǎng)絡(luò)資產(chǎn)探測系統(tǒng)內(nèi)置了許多資源庫�����,其中包括:指紋庫�、漏洞庫、PoC庫�����、資產(chǎn)庫�、IP地理庫����、Whois庫、IPv6存活地址庫�、威脅情報(bào)庫等。根據(jù)所需探測資產(chǎn)的規(guī)模大小和分布范圍���,部署一個(gè)或多個(gè)IPv4/IPv6探測節(jié)點(diǎn)�����,調(diào)度存活探測引擎���、指紋探測引擎�、PoC探測引擎和拓?fù)涮綔y引擎���,探測資產(chǎn)存活狀態(tài)�����、指紋信息��、拓?fù)涞?����,用以進(jìn)行PoC漏洞驗(yàn)證���,將探測到的數(shù)據(jù)匯聚到數(shù)據(jù)庫,根據(jù)需要進(jìn)行IPv6地址智能生產(chǎn)���、關(guān)聯(lián)屬性智能分析����、安全態(tài)勢分析等大數(shù)據(jù)分析�,據(jù)此提供檢索�����、報(bào)表�����、地圖等服務(wù)���,提供態(tài)勢展示、資產(chǎn)畫像等可視化展示�����,并可根據(jù)需要提供各種專題分析�。
五��、項(xiàng)目效果
- 彌補(bǔ)自查手段不足�,全面快速探測發(fā)現(xiàn)存活I(lǐng)Pv6地址,實(shí)現(xiàn)存活I(lǐng)Pv6資產(chǎn)設(shè)備指紋�����、端口���、應(yīng)用指紋���、漏洞等自動(dòng)探測��。
- 構(gòu)建IPv6漏洞情報(bào)安全能力��,與IPv6漏洞掃描工具聯(lián)動(dòng)�,全面探測發(fā)現(xiàn)IPv6資產(chǎn)及其存在的漏洞等�,構(gòu)建IPv6漏洞情報(bào)安全能力。
- 應(yīng)對高危漏洞爆發(fā)等突發(fā)事件�����,當(dāng)新型安全漏洞�����、0day漏洞��、Log4j2遠(yuǎn)程代碼執(zhí)行類漏洞等爆出時(shí)���,實(shí)現(xiàn)全網(wǎng)資產(chǎn)(含IPv6資產(chǎn))快速漏洞篩查���、定位��、分析和響應(yīng)�����,將安全風(fēng)險(xiǎn)損失降至最低�。
- 通過網(wǎng)絡(luò)資產(chǎn)的存活狀態(tài)���、安全狀態(tài)��、指紋等信息構(gòu)建IPv6網(wǎng)絡(luò)資產(chǎn)基礎(chǔ)數(shù)據(jù)庫���。有助于內(nèi)部梳理清楚資產(chǎn)信息、漏洞分布情況��,減少人力物力的投入���。
- 可智能預(yù)測全球IPv6存活地址并驗(yàn)證,形成全球?qū)崟r(shí)IPv6存活地址庫�����,可基于此探測內(nèi)部全量IPv6資產(chǎn)信息��,實(shí)現(xiàn)IPv6資產(chǎn)和漏洞等全生命周期管理、IPv6資產(chǎn)安全態(tài)勢分析��、IPv6資產(chǎn)安全運(yùn)營管理等��,帶動(dòng)IPv6資產(chǎn)安全產(chǎn)業(yè)聯(lián)動(dòng)效益��。
- 為客戶提供IPv6資產(chǎn)測繪���、漏洞發(fā)現(xiàn)驗(yàn)證�����、專項(xiàng)行動(dòng)�、重保����、應(yīng)急支持等服務(wù)。
- 解決了IPv6所面臨的廣譜資產(chǎn)探測�、廣譜漏洞掃描、廣譜滲透測試等問題���,推動(dòng)了某移動(dòng)公司IPv6的廣泛普及與應(yīng)用���,間接帶動(dòng)了“IPv6+”相關(guān)社會(huì)行業(yè)的崛起�,促進(jìn)社會(huì)行業(yè)應(yīng)用方面的經(jīng)濟(jì)收益��。
