APNIC文摘—偵測IPv6網路掃描活動(上)

本APNIC文摘原標題為Detecting IPv6 network scans,由日本國家資訊學研究所(National Institute of Informatics)副教授Kensuke Fukuda撰文。由於網路掃描工具隨處可得且方便使用,不到一小時便可用普通的電腦掃描全部的IPv4位址,偵測大範圍IPv4網路掃描活動對網路安全營運十分重要,因為得知這種惡意活動的存在可能有助於預測大規模攻擊。

監控暗網(darknet)是一種常見偵測IPv4網路掃描活動的方式,暗網是路由發布且沒有合法主機的網路,因此很容易偵測到不尋常的網路活動,如隨機網路掃描、DoS反射以及失敗的配置,一個/16暗網(65,536 個IP)在6.6秒內,可從每秒隨機掃描的10,000個封包中檢測到一個封包。

但是由於IPv6位址空間過於龐大,無法透過監控 IPv6 暗網方式來偵測隨機的IPv6網路掃描活動—一個/48 IPv6的暗網就算用盡所有時間也無法偵測1M pps(每秒100萬個封包)隨機掃描器。隨著網路上越來越多IPv6的布署,研究團隊必須找到同樣實用的方法來偵測這些掃描活動,以適時緩解惡意行為。

團隊使用的方法稱作DNS Backscatter,主要的概念為,在查詢掃描器IP位址(來源方)主機名稱的過程中,大型網路事件會自動觸發目標附近的反向DNS查詢(reverse DNS queries),單一反向查詢幾乎得不到掃描器的資訊,但是如果由快取queriers生成的許多反向DNS查詢(DNS Backscatter)出現在權威DNS伺服器中,就能集中地找出這個網路事件。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Detecting IPv6 network scans

Photo created by pikisuperstar

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *