一、方案背景

全球對IP地址的需求持續快速增長，基于IPv6的下一代互聯網成為各國推動新科技產業的主導。由于IPv6地址數遠遠大于IPv4地址數，IPv4環境的廣譜掃描、探測類的技術無法直接應用于IPv6環境，尋求新的解決方案來實現IPv6環境的掃描、探測等，以確保安全性的前提下推動IPv6的大規模應用是某移動公司需要探索的重點。

二、需求痛點

目前國家正在大力推動IPv6網絡的部署，某移動公司在全面升級IPv6環境，隨著云計算、5G、物聯網、車聯網等數字化技術的應用，IPv6網絡所承載的應用越來越多，導致IPv6資產數量激增，傳統以IPv4網絡下統計的資產臺賬已不適用。
對某移動公司IPv6環境下全量網絡資產進行存活探測，在爆發大規模安全問題發生時，要求能夠精確定位發生安全事件的資產，快速的進行漏洞驗證實現封堵。

三、解決方案

基于某移動公司對IPv6資產當前痛點需求，要考慮IPv6網絡資產探測系統考慮探測的全面性、高效性、IPv6適應性以及應用性等，設計思路如下：

• 全量資產：設計納管企業全量資產，包括但不限于硬件設備、云主機、操作系統、IP地址、端口、證書、域名、Web應用、業務應用、中間件、框架、機構公眾號、小程序、App、API等；
• 高速防溯源：設計采用基于DPDK的無狀態防溯源高速探測引擎，研究用戶態協議棧及動態優化發包策略，實現低帶寬條件下的高速發包，同時探測目標切片離散化、源IP和端口離散化，模擬正?？蛻舳嗽L問，防止溯源和被攔截；另采用編排和切片技術，存活探測、指紋探測、深度識別、PoC探測等同步進行，結果回數據中心再進行組裝，確保探測任務的順利進行。
• IPv6環境：研究應用IPv6海量地址空間IPv6存活地址智能預測分析算法，快速探測并驗證IPv6存活地址，建立并實時更新IPv6存活地址庫，確保IPv6網絡環境資產及其漏洞等的快速高效探測發現。
• 專題分析：針對不同時期的不同緊急事件發生需求，提供專題探測和分析（如攝像頭探測、0Day漏洞影響探測、挖礦專項探測、Log4j2分布探測等），滿足不同應用場景需求。

基于IPv6環境下網絡安全產品和服務研發應用實施后，可全面探測發現某移動公司IPv6環境下暴露面資產及其脆弱性，以便針對性地進行安全防護，繪制IPv6網絡資產及其脆弱性地圖，構建面向某移動公司所轄范圍內IPv6網絡空間地圖能力。

四、實際應用

本期工程通過建設IPv6網絡空間資產測繪平臺，主要功能包括IPv6資產可視化、IPv6資產服務、資產數據分析、IPv6資源庫等，進一步提升某移動公司的整體IPv6資產發現能力。系統功能架構如下圖所示：

IPv6網絡資產探測系統內置了許多資源庫，其中包括：指紋庫、漏洞庫、PoC庫、資產庫、IP地理庫、Whois庫、IPv6存活地址庫、威脅情報庫等。根據所需探測資產的規模大小和分布范圍，部署一個或多個IPv4/IPv6探測節點，調度存活探測引擎、指紋探測引擎、PoC探測引擎和拓撲探測引擎，探測資產存活狀態、指紋信息、拓撲等，用以進行PoC漏洞驗證，將探測到的數據匯聚到數據庫，根據需要進行IPv6地址智能生產、關聯屬性智能分析、安全態勢分析等大數據分析，據此提供檢索、報表、地圖等服務，提供態勢展示、資產畫像等可視化展示，并可根據需要提供各種專題分析。

五、項目效果

• 彌補自查手段不足，全面快速探測發現存活IPv6地址，實現存活IPv6資產設備指紋、端口、應用指紋、漏洞等自動探測。
• 構建IPv6漏洞情報安全能力，與IPv6漏洞掃描工具聯動，全面探測發現IPv6資產及其存在的漏洞等，構建IPv6漏洞情報安全能力。
• 應對高危漏洞爆發等突發事件，當新型安全漏洞、0day漏洞、Log4j2遠程代碼執行類漏洞等爆出時，實現全網資產（含IPv6資產）快速漏洞篩查、定位、分析和響應，將安全風險損失降至最低。
• 通過網絡資產的存活狀態、安全狀態、指紋等信息構建IPv6網絡資產基礎數據庫。有助于內部梳理清楚資產信息、漏洞分布情況，減少人力物力的投入。
• 可智能預測全球IPv6存活地址并驗證，形成全球實時IPv6存活地址庫，可基于此探測內部全量IPv6資產信息，實現IPv6資產和漏洞等全生命周期管理、IPv6資產安全態勢分析、IPv6資產安全運營管理等，帶動IPv6資產安全產業聯動效益。
• 為客戶提供IPv6資產測繪、漏洞發現驗證、專項行動、重保、應急支持等服務。
• 解決了IPv6所面臨的廣譜資產探測、廣譜漏洞掃描、廣譜滲透測試等問題，推動了某移動公司IPv6的廣泛普及與應用，間接帶動了“IPv6+”相關社會行業的崛起，促進社會行業應用方面的經濟收益。