重保結束后，這個操作，千萬不能忘！

   2022年的重保姍姍來遲，無論是朋友圈中調侃的“沒有被股市套牢，但被重保套牢的黑客”，還是“2022年演練的新規”，都不是本文討論的重點。本文就討論一下藍隊樸實無華的“封IP三連”技能。

   眾所周知，由于攻防的不對稱性，防守方要保障系統的安全，必須在每個環節都防守好，才不容易被突破。但是攻擊方只要找到一個點，就能夠進行突破。加之今年似乎在溯源反制報告上似乎有數量限制。所以藍隊同學為了拿到好的成績，就不得不加強在“封IP三連”大法的深入運用了。

   “封IP三連”大法的簡單粗暴有效，直接催生了藍隊對于紅隊IP資源的需要。于是乎各大安全論壇、各大交流群，都在分享著關于紅隊的IP清單列表。聽聞藍隊同學，拿到這些IP，不管三七二一 ，本著“寧可錯殺一百也不放過一個”的思路，全部封禁。

   安恒信息中央研究院零壹實驗室，一直以來聚焦于威脅情報數據的精細化生產和研究，對于開源情報的一直持審慎的使用態度。所以對直接從互聯網上獲取公開分發的惡意IP清單進行封禁的操作表示深深的擔憂。

   所以我們收集了一些重保期間的熱點分享數據源中的惡意IP清單，對數據進行了一些系統的分析，發現了我們深深擔憂是有道理的。

數據源質量分析

  對收集到的21000+個IP進行質量分析，發現其中共存在38個IP屬于保留地址IP，其中4個源中包含了保留地址IP。僅“某互聯網熱門共享數據”源中不包含保留IP地址。

   保留地址一般被用作內網私有IP地址。我們發現其中一些保留IP為(0.0.0.0、127.0.0.1、10.0.0.X、255.255.255.255)，如果這些保留IP被加入黑名單攔截，則將導致內部網絡不通，甚至將導致用于重保的網絡安全設備無法使用，極大的影響防守效率。

   我們大膽的猜測這里面的惡意IP清單，可能有紅隊投毒搗亂的嫌疑。

   對收集到的21000+個IP進行質量分析，發現其中4個源中包含了白名單IP，共計白名單207條數據；白名單主要為互聯網網絡通訊基礎設計，包括主流的搜索引擎、社交網絡、一些網絡基礎設施(DNS等)。如果白名單IP被加入黑名單攔截，可能導致正常的網絡業務不通暢。

   對于情報源中存在白名單的數據，我們大膽猜測可能是由于嚴格的防守封禁策略和上游數據粗糙的生產策略所導致的。但是對于DNS白名單，我們有信心猜測這是紅隊的投毒搗亂行為。

地理位置分析

   對收集到的21000+個IP進行地理位置，其中國內IP有17653個，國外IP有3905個，而國外IP中數量最多的是美國有1989個，剩余依次按數量從大到小為荷蘭、德國、韓國、印度、俄羅斯……，一共包含了93個國家。

   本次重保規則禁止使用國外IP，但從實際的數據來看，我們推測可能有紅隊使用了境外的IP。這一點可以從攻擊者畫像的數據中分析到。

網絡類型分析

   對收集到的21000+個IP進行網絡類型分析，其中識別到網絡類型的有17590個。在這些IP的網絡類型中，企業專線占比5.11%，移動基站占比7.54%，家庭寬帶等動態IP占比25.74%，IDC占比42.23%。

   企業專線、移動基站的IP地址是出口IP，出口IP的后面往往承載著大量的用戶終端，長期對這些IP進行封禁，會導致其中正常用戶的正常業務受到影響。

   移動基站、家庭寬帶IP還是動態IP，其后端的用戶會不斷的變化，持續封禁這些IP可能會影響到真實用戶的正常業務。

攻擊畫像分析

   對收集到的21000+個IP進行攻擊者畫像分析，共3384個IP識別到攻擊者畫像， 發現并不是所有的IP都是紅隊攻擊IP。3384個IP中，既包含了安全廠商巡檢、監管單位掃描、網絡資產測繪掃描這樣的善意攻擊者，也包括了黑灰產、僵尸主機等惡意攻擊者。

結論

   綜上我們的建議是，在重保期間可以審慎的使用免費共享清洗后的惡意IP清單，在重保結束后的第一時間清空重保期間封禁的惡意IP，避免重保單位業務受到影響。主要的原因如下：

1。各個情報源的質量參差不齊，甚至有紅隊投毒制造混亂的嫌疑，所以要封禁時，有必要對IP清單進行一定的清洗或者使用專業的威脅情報廠商提供的封禁清單。

2。IP情報的由于動態IP的時效性快、出口IP的影響范圍大，所以封禁清單需要持續的刷新。

3。在所有封禁的IP清單中，并不都是紅隊IP，還包括其他白名單、善意的攻擊者。