Wer scannt den IPv6-Adressraum? Und warum kümmert uns das überhaupt?
Zusammenfassung
Forscher von Akamai haben in Zusammenarbeit mit dem Max-Planck-Institut für Informatik in der ersten empirischen Studie dieser Art groß angelegte Schwachstellen-Scans im IPv6-Adressraum untersucht und ihre Ergebnisse zusammengestellt.
Die Ergebnisse bestätigen, dass Scanner zunehmend den IPv6-Adressraum durchforsten. Das Scannen von IPv6 ist weitaus komplizierter als das Scannen von IPv4, daher ist die Scanaktivität in IPv6 vergleichsweise immer noch recht selten.
Der Scan-Traffic konzentriert sich stark auf eine kleine Anzahl aktiver Quellen; geografisch gesehen scannen die beiden aktivsten Quellen von China aus. Wenn man sich die Top-Netzwerke mit Scan-Traffic anschaut, finden sich dort auch Scans, die von Cybersicherheitsunternehmen durchgeführt werden, sowie Scans aus dem Adressraum von Cloudanbietern.
Scanner verwenden als Quelle für ihren Traffic häufig keine einzelne 128-Bit-IPv6-Adresse, sondern unzählige Quelladressen aus Präfixen, die so groß sind wie ganze /32-Adressen, um unentdeckt zu bleiben. Das macht das Erkennen und Blockieren von Scannern äußerst schwierig.
Wenn Schwachstellen-Scans im IPv6-Adressraum häufiger werden, wird das zuverlässige Erkennen und Blockieren von IPv6-Scans zu einer großen Herausforderung.
Einführung
Angreifer, Forscher und Sicherheitsexperten nutzen Scans häufig, um Schwachstellen in internetfähigen Geräten zu finden und offenzulegen. Obwohl die jeweiligen Ziele mit Zehntausenden von kontinuierlichen Quellen im IPv4-Adressraum sehr unterschiedlich ausfallen, ist das Scannen einer der Eckpfeiler für jeden, der nach Cyberbedrohungen sucht oder sich gegen Cyberbedrohungen wehren möchte. Wenn neue Schwachstellen in Software gefunden werden, versuchen Angreifer, im Adressraum anfällige Hosts zu finden, die ausgenutzt oder infiziert werden können. Gleichzeitig scannen Botnets kontinuierlich den Adressraum nach neuen verwertbaren Zielen für laterale Ausbreitung. Sicherheitsunternehmen und Forscher scannen den Adressraum, um seine Eigenschaften zu untersuchen und Schwachstellen zu identifizieren. Kurz gesagt, im IPv4-Adressraum ist viel los.
Aber was ist mit IPv6? Scannt jemand den IPv6-Adressraum? Sollten wir uns überhaupt darauf konzentrieren?
Die Antwort ist ganz einfach: Wir können IPv6 aus sicherheitstechnischer Sicht nicht länger ignorieren. Für unseren neuen Bericht, der auf der ACM Internet Measuring Conference 2022 vorgestellt wird, haben wir Firewall-Protokolle verwendet, die auf den Edge-Servern von Akamai erfasst wurden, um die Scanaktivitäten im IPv6-Adressraum zu beleuchten. Über 15 Monate haben wir untersucht, wer scannt, wonach gescannt wird und welche Herausforderungen beim Erkennen und Blockieren dieser Scans auftreten.
Warum ist es schwierig, den IPv6-Adressraum zu scannen?
Der IPv4-Adressraum besteht aus rund vier Milliarden Adressen und der gesamte Raum kann heutzutage in unter einer Stunde von einer Maschine mit hoher Bandbreite gescannt werden. IoT-Bots mit geringer Bandbreite generieren und scannen auf ähnliche Weise zufällige IPv4-Adressen für laterale Ausbreitung. Die zufällige Generierung von Zieladressen reicht in der Regel aus, um mit ausreichend Zeit eine Reaktion von einem ausnutzbaren Host zu erhalten.
IPv6 hingegen bietet mit einer Adresslänge von 128 Bit,10-hoch-38 Adressen, also deutlich mehr als IPv4. Es würde Billionen von Jahren dauern, um mit den heutigen technologischen Fähigkeiten das gesamte IPv6 zu scannen. Dies macht vollständiges Scannen in diesem Bereich unmöglich. Wenn ein Angreifer also scannen möchte, muss er andere Wege finden, um Zieladressen zu finden – zum Beispiel mit Hilfe von Hitlisten mit IPv6-Adressen oder durch die Verwendung von DNS, um Domain-Namen in IPv6-Adressen aufzulösen. Obwohl die Weite von IPv6 es Angreifern schwer macht, zufällige Scans zu nutzen, um Ziele zu finden, bedeutet das nicht, dass das Risiko einfach ignoriert werden kann. Dies würde dem Konzept „Sicherheit durch Unklarheit“ entsprechen, nach dem IPv6 einfach durch „Blockieren“ „gesichert“ werden kann.
Warum ist die Erkennung von IPv6-Scans schwierig?
Im IPv4-Adressraum empfängt jede geroutete Adresse täglich Tausende Scanpakete, da Akteure den gesamten IPv4-Adressraum scannen oder zufällig Zieladressen generieren, um angreifbare Hosts zu finden. Die Überwachung von eintreffendem Scan-Traffic in nicht verwendeten Präfixen („Darknets“) bietet daher eine einfache Möglichkeit, die gesamten Scan-Trends im IPv4-Adressraum zu untersuchen.
Was IPv6 angeht, besteht die erste Herausforderung jedoch darin, Ausgangspunkte zu finden, an denen ausreichend Scan-Traffic erkennbar ist. Wie bereits erwähnt, ist zufälliges Anvisieren des gesamten IPv6-Bereichs nicht praktikabel. Die Überwachung des Traffics auf nicht verwendeten IPv6-Präfixen (Darknets, die für IPv4 üblich sind) würde daher kaum Scan-Traffic aufdecken. Hier kommt die Akamai Intelligent Edge Platform ins Spiel. Uns stehen Hunderttausende von Geräten in mehr als 1.300 Netzwerken zur Verfügung. Jeder Server hostet die Inhalte unserer Kunden, und da wir ihre Adressen als Antworten auf DNS-Anfragen zurückgeben, sind die IPv6-Adressen unserer Geräte dem Internet zugänglich. Daher können sie von Scannern gefunden werden und sind Teil der öffentlich zugänglichen Hitlisten von IPv6.
Die zweite Herausforderung besteht darin, IPv6-Scanquellen zu lokalisieren und zu isolieren. Da sowohl Angreifer als auch legitime Scanquellen aktiv scannen, ist Isolation wichtig, um die derzeitige Scanlandschaft verstehen zu können. Darüber hinaus ist die Isolierung in Produktionsumgebungen von entscheidender Bedeutung, wenn ein Netzwerk Traffic von einem schädlichen Akteur blockieren möchte. Bei der Untersuchung des Scan-Traffics haben wir festgestellt, dass einige Scanner keine einzelne 128-Bit-Quell-IPv6-Adresse zum Senden ihrer Scans verwenden, sondern ihren Traffic von unzähligen Quelladressen in weniger spezifischen Präfixen wie /64, /48 oder sogar /32 beziehen. Auch das macht die Größe von IPv6 möglich: Ein Scanner kann leicht eine große IPv6-Zuweisung erhalten (z. B. indem er ein /32-Präfix direkt von den regionalen Internetregistern (Regional Internet Registries, RIR) bezieht oder sogar indem er einfach Internetprovider abonniert, die Kunden ein ganzes /48-Präfix pro Abonnent zuweisen). Wir stellen also fest, dass Erkennung vermieden werden kann, indem der Traffic über Präfixe verteilt wird, da jede Quelladresse nur ein einziges Paket ausgibt. Andere Scanner scheinen die verfügbaren Bits in IPv6-Adressen zu verwenden, um Scan-Informationen zu kodieren.
Wie erkennen wir große IPv6-Scans?
Die Firewall von Akamai protokolliert unerwünschten Traffic, der an unsere Edge-Geräte gesendet wird, so auch den Scan-Traffic. Für die Scan-Erkennung muss eine bestimmte Quelle mindestens 100 Ziel-IP-Adressen unserer Maschinen anvisieren. Auf ähnliche Art und Weise haben wie wir in früheren Arbeiten größere Scans in IPv4 erkannt.
Wie oben erwähnt, nutzen einige Scanner größere Präfixe als Quelle für Ihren Traffic, daher zeigen wir Scanner, die ohne Aggregation des Traffics (/128-Quellen) erkannt wurden, sowie auch Scanner, die bei der Aggregation aller Pakete einer /64-Quelle und bei der Aggregation aller Pakete einer /48-Quelle erkannt wurden.
IPv6-Scantrends in den Jahren 2021 und 2022
Abb. 1: Wöchentlich erkannte IPv6-Scanquellen für unterschiedliche Aggregationsstufen einer Quelle
Abb. 1: Wöchentlich erkannte IPv6-Scanquellen für unterschiedliche Aggregationsstufen einer Quelle
Abbildung 1 zeigt, wie viele Scanner wir wöchentlich von Januar 2021 bis März 2022 erkannt haben. Wir können sehen, dass die Aggregationsstufe der Quellpakete einen großen Einfluss auf die Anzahl der erkannten Scanquellen hat. Insgesamt sehen wir über den gesamten Zeitraum hinweg eine relativ stabile Anzahl von Scannern, meist zwischen 10 und 100 wöchentlichen aktiven Scanquellen. Das sind im Vergleich mit den hunderttausenden Scannern, die den IPv4-Adressraum durchforsten, recht kleine Zahlen. Ab November 2021 ist ein bemerkenswerter Anstieg bei den /128-Scanquellen sichtbar. Wir möchten jedoch darauf hinweisen, dass alle diese /128-Quellen zu einer einzigen /64-Quelle zusammengefasst werden können und von einem einzigen Scan-Akteur, einem in den USA ansässigen Cybersicherheitsunternehmen, verwendet werden.
Konzentration des IPv6-Scan-Traffics
Abb. 2: Wöchentliche Scanpakete (Aggregation von /64-Quellen)
Abb. 2: Wöchentliche Scanpakete (Aggregation von /64-Quellen)
Abbildung 2 zeigt die Anzahl der wöchentlich erfassten Scanpakete. Der aktivste und zweitaktivste Scanner zusätzlich wird jede Woche getrennt dargestellt. Auffällig ist, dass es im Grunde zu jeder Zeit einen einzigen aktivsten Scanner gibt, der die überwältigende Mehrheit des Scan-Traffics sendet (bis zu 92 % pro Woche), während die anderen, weniger aktiven Scanner vergleichsweise sehr wenig zum Traffic beitragen. Nun stellt sich die Frage: Wer sind die Top-Scanner?
Quellnetzwerke der Scans
Die Tabelle zeigt die 20 Netzwerke (autonome Systeme, AS) nach Scanvolumen sortiert, die Quellen des Scan-Traffics sind. Außerdem zeigen wir für jedes Netzwerk die Anzahl der erkannten /48-Präfixe, /64-Präfixe und /128-Präfixe. Für jedes Netzwerk sind der Netzwerktyp und das Herkunftsland angegeben.
Tabelle: Die 20 größten Scan-Quellnetzwerke (AS) nach Volumen. Wir stellen fest, dass die Anzahl der /48-Scanquellen die der /64- oder /128-Quellen überschreiten kann, wenn der kombinierte Traffic aus /48-Quellen der Scandefinition entspricht, aber der Traffic aus den enthaltenen /64-Quellen nicht (z. B. AS #18).
Wir stellen außerdem fest, dass das Scannen stark konzentriert ist: Die fünf wichtigsten Quellnetzwerke machen fast 93 % des gesamten Scan-Traffics aus. Die beiden aktivsten Quellnetzwerke sind insbesondere Rechenzentren in China, gefolgt von einer Reihe von Cybersicherheitsunternehmen und großen Cloudanbietern. Insgesamt stellen wir fest, dass der größte Teil des Scan-Traffics von Rechenzentren oder Cloudanbietern stammt. In unserer Top 20 findet sich kein einziger Endnutzer-ISP.
Wenn wir die Scan-Quellen in den AS betrachten, stellen wir auffällige Unterschiede zwischen den Netzwerken fest. Während die aktivsten Scanner den gesamten Traffic von einzelnen 128-Bit-Quelladressen beziehen, finden wir auch einige Netzwerke (z. B. AS #18), in denen ein einzelner Scanner Traffic von mehr als 1.000 verschiedenen /48-Präfixen sendet. Gleichzeitig macht AS #18 weniger als 0,1 % des gesamten protokollierten Scan-Traffics aus, kann aber dennoch die Analyse verzerren, wenn die Netzwerke nach aktiven Quellpräfixen sortiert werden.
Herausforderungen und Schlussfolgerung
Die Schlüsselfrage im Umgang mit IPv6-Scans ist: Mit welcher Präfixgröße lässt sich ein einzelner Scanner am besten identifizieren? Wie in der Tabelle dargestellt, variiert die Antwort: Während der Scanner in AS #1 mit seiner 128-Bit-IPv6-Adresse identifiziert werden kann und sollte, muss der Scanner in AS #18 zu einem vollständigen /32-Präfix aggregiert werden. Im Allgemeinen könnte die Aggregation auf eine solche Präfixlänge verschiedene einzelne Scanquellen zusammenführen, insbesondere bei Cloudanbietern, bei denen einzelnen Nutzern häufig /64-, /96- oder sogar noch spezifischere Präfixe zugewiesen werden. Wenn in der Praxis die Erkennung eines Scans auch zu dessen Blockierung führt, so blockiert eine zu grobe Aggregation auch Traffic aus legitimen Quellen.
Unsere erste Analyse zeigt, dass es immer noch eine relativ kleine Anzahl von Scannern gibt, die auf den IPv6-Adressraum abzielen, insbesondere im Vergleich zu den bekannteren Scannern, die IPv4 anvisieren. Der IPv6-Scan-Traffic ist stark konzentriert, und eine kleine Anzahl von Quellen dominiert das Bild. Wir sind der Meinung, dass sich diese Situation schnell ändern kann, wenn Schwachstellen-Scans im IPv6-Adressraum alltäglicher werden. Die korrekte Identifizierung von IPv6-Scanquellen stellt eine Herausforderung dar.
Weitere Details finden Sie in unserem Paper.
Für weitere bahnbrechende Forschung: