Als Nachtrag zum Artikel „Mitternachtshacking The Art of Portscanning“ noch ein paar Gedanken zum Portscanning in IPv6 Netzwerken.
Das reine Portscanning, d.h. das Scannen einer einzelnen IP-Adresse nach allen offenen UDP- und TCP- Ports wird natürlich genauso funktionieren wie bisher auch. Problematisch wird es jedoch beim Scannen eines kompletten Netzwerks. Während ein typisches Subnetz bei IPv4 nur aus 8 Bit Hostadresse (256 Rechner) besteht, haben die bei IPv6 vergebenen Subnetze zur Zeit eine 64 Bit Hostadresse. Zum Vergleich, das gesamte(!) aktuelle Internet hat jetzt einen 32 Bit Adressraum. Während man ein IPv4 Subnetz lokal in weniger als 5 Minuten scannen kann (mit Scanrand sogar noch viel schneller) benötigt man für ein IPv6 Subnetz geschätzte 5 Milliarden Jahre. Da kommt es auf einen Faktor 1000 hin oder her nicht mehr an.
Es gibt ein paar Tricks, um den Adressraum zu reduzieren:
- Wenn die Administratoren Adressen manuell vergeben, ist sehr wahrscheinlich, dass an einem Ende des Adressbereichs angefangen wird, z.B. bei „[prefix]::1“ aufwärts. Insbesondere für Server mit festen IP-Adressen ist diese Vergabe von Adressen recht wahrscheinlich.
- Wenn das bei IPv6 eingeführte Stateless Autoconfiguring (RFC 2462) verwendet wird, leitet sich die IP-Adresse aus der Ethernet-Adresse der Netzwerkkarte ab. Wenn der Hersteller der Systeme bekannt ist oder vermutet werden kann, reduziert das den Suchraum deutlich.
- Wenn 6to4 konfiguriert ist, leitet sich die IPv6 Adresse aus der IPv4 Adresse ab. Die aktuelle 6to4 Implementierung von Microsoft verwendet „2002:v4addr::v4addr“, einige Linux und FreeBSD Implementierungen „2002:v4addr::1“. Allerdings kann man dann meistens auch gleich wieder nach IPv4-Adressen scannen.
Die Problematik betrifft nicht nur Angreifer sondern auch Administratoren die ihre eigenen Netze überprüfen möchten. Allerdings haben die meistens den Vorteil, ihre Infrastruktur und damit ihre Adressen zu kennen.
Der IETF-Draft „IPv6 Implications for TCP/UDP Port Scanning“ beschreibt die Problematik, mögliche Ansätze für optimiertes Scanning sowie weitere Schutzmaßnahmen für Systembetreiber sehr schön.
Kommentare gesperrt wegen Spam
Comment by Christian — 15. Mai 2010 @ 19:25