IPv6-Reconnaissance – Internet-weite Analyse von ICMPv6

Master Studiengang Information Security

Florian Holzbauer, BSc

Dozent: Dipl.-Ing. Peter Kieseberg | Dr. Johanna Ullrich

Ausgangslage

Das Internet - Wir benutzen es täglich, um mit Freunden zu kommunizieren, Erfahrungen zu teilen, oder einfach im Web zu surfen. Die Kommunikation im Internet erfolgt ganz ähnlich wie beim Verschicken eines Briefes mittels Adressen, nur das statt Hausnummern und Postleitzahlen, IP-Adressen verwendet werden. Der starke Zuwachs an mit dem Internet verbundenen Geräten, führte jedoch zu einer Knappheit an verfügbaren IP-Adressen. Daher wurde die Länge der Adressen in einer neuen Version (IPv6) angepasst und von 32 Bit auf 128 Bit erhöht. Dies hat Konsequenzen für internetweite Messungen. In IPv6 kann nicht mehr an jede vorhandene Adresse ein Paket geschickt werden. Bisherige Ansätze versuchen die Anzahl an Zielen zu reduzieren indem Adresslisten aus DNS, CDN Logs, etc. gebildet werden. Im Rahmen dieser Arbeit wird ein neuer Ansatz verfolgt. Bei diesem soll zwischen aktiven und nicht aktiven Subnetzen unterschieden werden. Aktive Subnetze eignen sich anschließend für weitere Messungen. Dafür soll evaluiert werden, ob neben Echo-Replies auch ICMPv6-Error-Messages geeignet sind, um den Status eines Netzwerkes abzuleiten.

Ziel

Ziel dieser Arbeit ist es herauszufinden, welche ICMPv6-Antworttypen verwendet werden und was die Ursache für diese sind. Router limitieren die Anzahl der Error-Messages, daher soll festgestellt werden wie sich dies auf die Messung auswirkt. Zusätzlich wurden Netzwerke mit Aliasing erkannt, bei denen jede Anfrage mit einem Echo-Reply beantwortet wird. Das Aussortieren dieser soll ermöglicht werden.

Ergebnis

Die Messergebnisse zeigen die Verteilung der Antworttypen in den Kategorien Antworten, Adressen, antwortende Netzwerke und Zielnetzwerke. Es wird erstmalig visualisiert, dass sich Rate-Limiting unterschiedlich auf die einzelnen Antworttypen auswirkt. Eine eigens implementierte Methode zur Erkennung von Aliasing zeigt, dass über 99% der empfangenen Echo-Replies aus Netzwerken mit Aliasing stammen. Um die Ursachen der Antworttypen zu finden, erfolgt ein Clustering der Netzwerke basierend auf deren Antwortverhalten. Dadurch wurden Netzwerke identifiziert, die es erlauben aus Address-Unreachable Antworten, aktive Subnetze abzuleiten. Andere Netzwerke zeigen starke Einflüsse von Firewalling, sowie Fehlkonfigurationen durch Routing Loops. Bei all diesen Verhalten wurden deutliche geografische Unterschiede festgestellt.