“失控”的 IPv6：观察 IPv6 网络环境安全现状(2)

在统计区间内，知道创宇云防御平台日均拦截来自IPv6网络的攻击超过 11万 次。如上述趋势图所示，在2020年5月中旬至5月末出现了一波明显的攻击高峰，这一时段与2020年两会召开时段基本吻合。

总体来看，半年内IPv6总流量中约有 3.8% 的流量份额是被知道创宇云防御体系识别并拦截的Web攻击流量。

整个半年内，制造IPv6网络攻击的攻击源仍以中国境内IPv6地址为主，其他主要IPv6网络攻击发起地域全部属于发达国家。这一现象也从另一个角度反映了目前世界范围内IPv6网络升级仍是以经济发展水平较高的国家为主导的。

近期，知道创宇威胁情报中心的安全研究员监测到一种新型互联网黑产技术手段，部分黑产人员可以利用部署在公共网络的具有漏洞的IPv6代理服务实现国内外知名搜索引擎对各类违法网页的收录。

某搜索引擎恶意页面收录

由于这种配置漏洞的存在，任何人都可以通过点击一个经过特殊构造的URL链接，使用代理服务器绑定的域名来访问其它域名下部署的网络服务。例如，若某个政府网站“example.gov.cn”已成功部署IPv6代理服务，那么在浏览器地址栏中输入“”（可能具有不同的格式）之后敲击回车键，浏览器中实际呈现的页面将会是百度官网的页面。

IPv6代理服务使用方法演示

由于中国IPv6网络当前的发展状况，目前部署有IPv6代理服务的机构多为政府单位、央企国企及高等院校，因此相关代理服务器的域名也以“gov.cn”或“edu.cn”为主。这类域名往往在搜索引擎排名算法中具有极高的收录权重，通过这类域名收录的页面会在搜索结果列表中排名十分靠前，更容易被普通用户发现。

黑产人员正是凭借这种特性来滥用高权重IPv6代理域名对违法的色情或非法赌博网站进行伪装，提高其曝光度，从而实现敛财的目的。以下是一部分我们搜集到的被搜索引擎成功收录的违法内容页面：

被收录的恶意页面一

被收录的恶意页面二

被收录的恶意页面三

知道创宇404积极防御实验室长久以来一直致力于对互联网公共安全事件的监控与挖掘，对于之前监测到的类似安全事件，均已直接或通过相关监管部门及时上报给各客户单位，避免了恶意事件的进一步发生。

可以说，此类可被公开利用的IPv6代理服务并不是个例，而是一种较为“普遍”的现象。仅在过去的几个月内，我们就累计为23家重点单位发现并上报了错误配置IPv6代理服务被滥用的安全事件。

这种投毒式的高含金量域名滥用还可以帮助黑产团伙轻松地绕过一些审查机制。比如，某些移动端APP从内置浏览器内请求外链之前会先对处于域名黑名单的站点进行阻断，防止非法违禁内容的传播。

然而，通过使用具有高可信度域名的IPv6代理，可以给违法站点披上一层合法的外衣。下图就是一次访问非法赌博类站点的成功绕过过程演示。第一次在某客户端的内置浏览器直接访问网站域名，请求被系统拦截;第二次通过IPv6代理访问，可以在浏览器中成功打开站点。

利用IPv6代理绕过域名审核演示