今天的阅读推荐来自我们专栏热心读者tours_phage6v的投稿,在此表示感谢!!!
今天的内容是对 2023 IEEE S&P 文章 IPvSeeYou: Exploiting Leaked Identifiers in IPv6 for Street-Level Geolocation 的回顾,此文在2021年Blackhat也进行了线上展示。虽然是一篇较老的文章,温故而知新,或许在各位同学未来的科研(灌水)中会有用武之地。
TL;DR
作者提出了一种攻击方法:攻击者可通过用户IPv6地址推测其局域网Wi-Fi热点的BSSID,并结合Wi-Fi定位数据库,将住宅IPv6设备精确到街道级位置。该研究揭示了路由器普遍采用EUI-64地址和可预测MAC分配模式所带来的隐私风险,即便用户设备本身未泄露信息,也可能因邻近设备而被间接定位 (开盒住址)。
在第2章 背景与相关工作中,作者首先回顾了IPv6地址中EUI-64格式的生成原理:设备将自身的48位MAC地址,中间插入0xFFFE扩展为64位,并反转MAC地址中的第7位(U/L位),最终形成IPv6地址的后64位(Interface Identifier, IID)。这一设计初衷是方便设备自动配置IPv6地址,但同时也将设备的物理标识暴露到了网络层。近年来虽然大多数终端系统已默认启用IPv6隐私扩展(随机地址生成),但大量住宅CPE设备仍使用老旧配置,继续泄露真实MAC地址。
(示意图为笔者补充以便于理解)
传统IP定位技术,例如网络延迟测量或路由拓扑推断,通常只能实现城市级或更粗粒度的定位。相比之下,IPvSeeYou通过融合MAC和Wi-Fi定位数据,实现了街道级精度的地理推断,明显提高了攻击威胁。尤其是在密度低、独家独户的场景中,被定位的影响更大。
第3章 方法论详细描述了整个攻击过程。整体流程如Figure 2所示,包括三个核心步骤:
- 大规模收集IPv6 EUI-64地址
作者使用Yarrp和ZMap6等工具,通过互联网扫描主动探测,最终收集到约3.47亿个EUI-64格式IPv6地址,提取出约6100万个唯一WAN接口MAC地址。其中,为避免错误,将出现跨AS复用的MAC地址(约占0.2%)排除在外。事实上,攻击者点对点攻击时无需进行扫描,在获得对端IP地址后即可通过计算(下面这个要点)可能的MAC地址进行位置查询。 - 推测WAN口MAC与Wi-Fi BSSID之间的偏移关系
由于许多CPE设备(实际上指家用无线路由器)将WAN、LAN、2.4G Wi-Fi、5G Wi-Fi等接口MAC地址顺序分配,例如WAN为AA:BB:CC:DD:EE:01,Wi-Fi为AA:BB:CC:DD:EE:03,因此可以通过特定算法推测BSSID相对于WAN口MAC的偏移量。Figure 3给出了一个典型示例:WAN、LAN、2.4G、5G无线接口的MAC地址在分配上有规律性的差异。作者统计了1008个OUIs(厂商品牌),推断出每个品牌常见的分配偏移,且发现大多数偏移值集中在**-16到+15之间**,其中**偏移量0(同一MAC)**最为常见。 - 匹配Wi-Fi定位数据库进行定位
推测出BSSID后,作者查询了多个Wi-Fi地理定位数据库,包括WiGLE、OpenBMap、OpenWifi.su和Apple Wi-Fi位置服务,共获得了约4.5亿个独立BSSID的地理坐标数据。通过数据融合,IPvSeeYou能够将超过1200万个IPv6前缀精确定位到街道级,其中德国、美国、越南和法国是地理定位数量最多的国家。
第4章 讨论局限性指出,这种攻击受限于CPE设备是否启用了EUI-64、是否能响应探测、MAC地址分配是否可推测,以及Wi-Fi数据库中是否存在对应BSSID。如果设备采用随机MAC分配或没有Wi-Fi功能,攻击就难以实施。此外,Wi-Fi数据库的数据可能存在时效性问题,例如设备迁移导致定位误差。
在第6章 验证部分,作者通过三种方式验证了攻击的实际效果:
- 志愿者实测
:50位IPv6用户参与测试,8个使用EUI-64设备中,有5个通过IPvSeeYou准确定位。定位误差中位数为39米,远远优于传统IP地理数据库(MaxMind的中位误差为1.34公里)。 - ISP合作验证
:在与一家大型北美ISP合作中,对1350个随机采样的住宅IPv6地址进行验证,**80%**的IPvSeeYou推测位置与运营商地理数据一致。 - 实机验证
:作者购入18款常见品牌的CPE路由器进行测试,其中在可推断偏移的8款设备中,5款成功推测正确,进一步确认了方法的普适性。
第7章 结果分析详细汇总了全球范围的地理定位成果。整体探测的约3.47亿IPv6地址中,有1200万个MAC地址成功匹配到了Wi-Fi BSSID,实现了街道级地理定位,覆盖了146个国家和地区。其中,德国的定位数量占比最高(超过29%),主要由于德国广泛部署了采用EUI-64的AVM Fritz!Box设备。
第8章 扩展到非EUI-64设备。即使一些设备本身启用了随机地址保护,IPvSeeYou仍能通过上游路由器聚类方法间接定位。作者分析了多个城市区域的ISP接入架构(如印第安纳波利斯、匹兹堡),通过聚合连接到同一上游路由器的EUI-64 CPE的位置推断,间接推测出同一接入点下随机地址设备的地理位置。这种方法在实测中能够将定位误差控制在10公里以内。
第9章 讨论缓解方案。作者建议,最彻底的防御是CPE设备改用随机生成IPv6地址,同时在MAC地址分配上引入随机性。此外,禁用ICMPv6响应可以部分阻断探测,但代价是影响网络运维功能。值得注意的是,即使一部分设备采用防护措施,只要同网段存在使用EUI-64的老旧设备,整个局域网用户仍可能被间接开盒。
总结强调,虽然EUI-64 SLAAC在现代终端系统中已被弃用,但由于住宅CPE设备的更新周期极长(毕竟质量好的能轻松用5年),IPvSeeYou揭示的隐私威胁将长期存在,需要引起设备制造商和ISP的高度重视。
相关链接
-
🐎 SP 文章 (https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=10179376)
-
🐎 SP 录像(🧱)(https://www.youtube.com/watch?v=bB3-5f5VpFc)
-
🎩BlackHat 录像(Bilibili)(https://www.bilibili.com/video/BV1NujFzNEQ9/)
-
🐱GitHub (https://github.com/6int/IPvSeeYou)
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2025-05-08 IPvSeeYou
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论