G.O.S.S.I.P 阅读推荐 2025-05-08 IPvSeeYou

今天的阅读推荐来自我们专栏热心读者tours_phage6v的投稿，在此表示感谢！！！

今天的内容是对 2023 IEEE S&P 文章 IPvSeeYou: Exploiting Leaked Identifiers in IPv6 for Street-Level Geolocation 的回顾，此文在2021年Blackhat也进行了线上展示。虽然是一篇较老的文章，温故而知新，或许在各位同学未来的科研（灌水）中会有用武之地。

TL;DR

作者提出了一种攻击方法：攻击者可通过用户IPv6地址推测其局域网Wi-Fi热点的BSSID，并结合Wi-Fi定位数据库，将住宅IPv6设备精确到街道级位置。该研究揭示了路由器普遍采用EUI-64地址和可预测MAC分配模式所带来的隐私风险，即便用户设备本身未泄露信息，也可能因邻近设备而被间接定位 （开盒住址）。

在第2章 背景与相关工作中，作者首先回顾了IPv6地址中EUI-64格式的生成原理：设备将自身的48位MAC地址，中间插入0xFFFE扩展为64位，并反转MAC地址中的第7位（U/L位），最终形成IPv6地址的后64位（Interface Identifier, IID）。这一设计初衷是方便设备自动配置IPv6地址，但同时也将设备的物理标识暴露到了网络层。近年来虽然大多数终端系统已默认启用IPv6隐私扩展（随机地址生成），但大量住宅CPE设备仍使用老旧配置，继续泄露真实MAC地址。

（示意图为笔者补充以便于理解）

传统IP定位技术，例如网络延迟测量或路由拓扑推断，通常只能实现城市级或更粗粒度的定位。相比之下，IPvSeeYou通过融合MAC和Wi-Fi定位数据，实现了街道级精度的地理推断，明显提高了攻击威胁。尤其是在密度低、独家独户的场景中，被定位的影响更大。

第3章 方法论详细描述了整个攻击过程。整体流程如Figure 2所示，包括三个核心步骤：

1. 大规模收集IPv6 EUI-64地址
   
   作者使用Yarrp和ZMap6等工具，通过互联网扫描主动探测，最终收集到约3.47亿个EUI-64格式IPv6地址，提取出约6100万个唯一WAN接口MAC地址。其中，为避免错误，将出现跨AS复用的MAC地址（约占0.2%）排除在外。事实上，攻击者点对点攻击时无需进行扫描，在获得对端IP地址后即可通过计算（下面这个要点）可能的MAC地址进行位置查询。
2. 推测WAN口MAC与Wi-Fi BSSID之间的偏移关系
   
   由于许多CPE设备（实际上指家用无线路由器）将WAN、LAN、2.4G Wi-Fi、5G Wi-Fi等接口MAC地址顺序分配，例如WAN为AA:BB:CC:DD:EE:01，Wi-Fi为AA:BB:CC:DD:EE:03，因此可以通过特定算法推测BSSID相对于WAN口MAC的偏移量。Figure 3给出了一个典型示例：WAN、LAN、2.4G、5G无线接口的MAC地址在分配上有规律性的差异。作者统计了1008个OUIs（厂商品牌），推断出每个品牌常见的分配偏移，且发现大多数偏移值集中在**-16到+15之间**，其中**偏移量0（同一MAC）**最为常见。
3. 匹配Wi-Fi定位数据库进行定位
   
   推测出BSSID后，作者查询了多个Wi-Fi地理定位数据库，包括WiGLE、OpenBMap、OpenWifi.su和Apple Wi-Fi位置服务，共获得了约4.5亿个独立BSSID的地理坐标数据。通过数据融合，IPvSeeYou能够将超过1200万个IPv6前缀精确定位到街道级，其中德国、美国、越南和法国是地理定位数量最多的国家。

第4章 讨论局限性指出，这种攻击受限于CPE设备是否启用了EUI-64、是否能响应探测、MAC地址分配是否可推测，以及Wi-Fi数据库中是否存在对应BSSID。如果设备采用随机MAC分配或没有Wi-Fi功能，攻击就难以实施。此外，Wi-Fi数据库的数据可能存在时效性问题，例如设备迁移导致定位误差。

在第6章 验证部分，作者通过三种方式验证了攻击的实际效果：

• 志愿者实测
  
  ：50位IPv6用户参与测试，8个使用EUI-64设备中，有5个通过IPvSeeYou准确定位。定位误差中位数为39米，远远优于传统IP地理数据库（MaxMind的中位误差为1.34公里）。
• ISP合作验证
  
  ：在与一家大型北美ISP合作中，对1350个随机采样的住宅IPv6地址进行验证，**80%**的IPvSeeYou推测位置与运营商地理数据一致。
• 实机验证
  
  ：作者购入18款常见品牌的CPE路由器进行测试，其中在可推断偏移的8款设备中，5款成功推测正确，进一步确认了方法的普适性。

第7章 结果分析详细汇总了全球范围的地理定位成果。整体探测的约3.47亿IPv6地址中，有1200万个MAC地址成功匹配到了Wi-Fi BSSID，实现了街道级地理定位，覆盖了146个国家和地区。其中，德国的定位数量占比最高（超过29%），主要由于德国广泛部署了采用EUI-64的AVM Fritz!Box设备。

第8章 扩展到非EUI-64设备。即使一些设备本身启用了随机地址保护，IPvSeeYou仍能通过上游路由器聚类方法间接定位。作者分析了多个城市区域的ISP接入架构（如印第安纳波利斯、匹兹堡），通过聚合连接到同一上游路由器的EUI-64 CPE的位置推断，间接推测出同一接入点下随机地址设备的地理位置。这种方法在实测中能够将定位误差控制在10公里以内。

第9章 讨论缓解方案。作者建议，最彻底的防御是CPE设备改用随机生成IPv6地址，同时在MAC地址分配上引入随机性。此外，禁用ICMPv6响应可以部分阻断探测，但代价是影响网络运维功能。值得注意的是，即使一部分设备采用防护措施，只要同网段存在使用EUI-64的老旧设备，整个局域网用户仍可能被间接开盒。

总结强调，虽然EUI-64 SLAAC在现代终端系统中已被弃用，但由于住宅CPE设备的更新周期极长（毕竟质量好的能轻松用5年），IPvSeeYou揭示的隐私威胁将长期存在，需要引起设备制造商和ISP的高度重视。

相关链接

• 🐎 SP 文章 (https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=10179376)

• 🐎 SP 录像（🧱）(https://www.youtube.com/watch?v=bB3-5f5VpFc)

• 🎩BlackHat 录像（Bilibili）(https://www.bilibili.com/video/BV1NujFzNEQ9/)

• 🐱GitHub (https://github.com/6int/IPvSeeYou) 

原文始发于微信公众号（安全研究GoSSIP）：G.O.S.S.I.P 阅读推荐 2025-05-08 IPvSeeYou