IPv6でのポートスキャン
Published: 2009/07/04
IPv6については、いろいろなイベントやミーティングで盛況だといわれてますが、これって狭い世界、一部の人だけの話であって、よくある世間ズレした、研究ネタ、技術優先でできたネタ、サービスが、一般人から客観的に見られれば、一目でまったくの当て外れ、コンセプト間違い、導入調整まちがいだと思われるのと同じ状況に見えるんですよね。どのイベントも同じ人たちが同じことをしゃべっているだけに見えるものはその傾向が強くIPv6はまさにそれじゃないかなと。別のもっと現状のインターネットビジネスをわかっている新しい人たちに中心になってもらうべきなんじゃないかなぁと思うしだいです。これってやっぱりおれたちが中心だといいたいだけとか?いや、まぁIPv6に限定した話ではなくインターネット全般に言えることなのかもしれませんが、、、
で、まぁ、とはいえ今更後には引けないIPv6ですので、否応なく対応していくことなるのでしょう。
ということで、数年前からIPv6網にも何種類かのハニーポットをぶら下げていたりします。
知らないうちにIPv6がアサインされてしまうフレッツとかありますし、自分のNWがいつの間にかDualStackになっていたとか、DNSからAAAAレコードが返ってきて実はv6側でホスティングサービスにつながってしまうなどということもだんだんありえる状況になりつつあります。(ってほどでもないのですが)
たとえば去年書いた記事
のようなこともありうるわけです。
中でも、もっとも懸念しているのが、ここ10年以上かけて経験したさまざまなセキュリティ問題とそれに対する対策、経験がIPv6では置き去りにされてしまわないかという点です。これだけ移行に大失敗して、2000年問題的な脅迫で無理やり移行させようとしているわけですから、装置や、サービスのセキュリティ対策は置き去りなんじゃないかと。新しいネットワークサービスが出るたびに同じことを経験しますからこれはそれ以上でしょう。
これとかもそうですね。
で基本に立ち返っていろいろ見ていこうかと(やっと本題)
とりあえず今回はポートスキャンについて。
基本的にIPv6につないでいるハニーポットには、IPv4のネットワークに接続している状況と異なり、ゴミパケット、攻撃パケットは検出されていません。
サービスに加入していると、
のようなパケットがとどいたりすることはあります。
ただこの状況はIPv6網経由で通信するマスユーザーの数が圧倒的に少ないことが最大の理由だと思っています。極端に言えば12〜3年前のインターネットと同じ状況。ユーザーが増えればそれに比例して増えるという歴史をたどるだろうと。
WormやbotのIPv6側で挙動も興味もありますが、歴史をたどる場合はまずツールからですね。IPv6で使えるツールはたくさんありますが、普通に使えるポートスキャンツールたとえば「Nmap」は、2002年からIPv6に対応しています。
ChangelogでIPv6に関する記述を抜き出すとこのような感じ。
Nmap 4.85BETA10 [2009-06-12] o Nmap can now handle -PS and -PA at the same time when running nmap as non-root or using IPv6. It now combines the two port lists [Josh Nmap's verbosity level (-v) is at least one or two. [Ron, Fyodor] o The --traceroute feature is now properly disabled for IPv6 ping scans (-6 -sP) since IPv6 traceroute is not currently Nmap 4.75 [2008-9-7] o Nmap now works with Windows 2000 again, after being broken by our IPv6 support improvements in version 4.65. A couple new dependencies Nmap 4.68 [2008-6-28] o Added IPv6 host support to the RPC scan. Attempting this before the Nmap version detection DB. [Tom Sellers, Fyodor] Nmap 3.75 [2004-10-18] o Added --max_scan_delay parameter. Nmap will sometimes increase the packet per second during a UDP scan. So Nmap will try to detect options specified), Nmap allows this delay to grow to one second per right after the IPv4/IPv6 [address] element. Apparently this is Nmap 3.55 [2004-7-7] o Added MAC address printing. If Nmap receives packet from a target scanning machine, Nmap will print out the target MAC address. Nmap during IPv6 scans from certain platforms to some firewalled targets. Nmap has accepted both names for years and will continue to do Nmap 3.40PVT14 [2003-9-4] o Added IPv6 support for service scan. Nmap which service checks to try first for SSL-wrapped ports. The submission. Nmap now detects Dave Curry's Webster dictionary server Nmap 3.25 [2003-4-19] o Fixed some compilation problems on systems without IPv6 support -- Nmap 3.10ALPHA2 [2002-8-31] o Fixed compilation and IPv6 support on FreeBSD (tested on o Fixed compilation and IPv6 support on Solaris 9 (haven't tested Nmap 3.10ALPHA1 [2002-8-28] o IPv6 is now supported for TCP scan (-sT), connect()-style ping IPv6 numbers or DNS names. Netmask notation is not currently supported -- I'm not sure how useful it is for IPv6, where even petty If there is demand, I may integrate more of that into Nmap.
で、まぁたとえば、ちょっと古めのnmapになんのオプションもつけず簡単にこんな結果が得られます。IPv6側ではこのようなサイトがたくさんみつかることでしょう、、、
# nmap -6 2001:xxx:xxx:xxx::xxx Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-07-01 21:30 JST Interesting ports on 2001:xxx:xxx:xxx::xxx: Not shown: 1676 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp filtered http 82/tcp open xfer
# nmap -6 XXX.XXX.XXX Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-07-01 22:59 JST Interesting ports on XXX.XXX.XXX (2001:2xx:x:xxx:xxx:xxx:xxx:xxx): Not shown: 1670 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 1009/tcp open unknown 2049/tcp open nfs 2401/tcp open cvspserver
たとえばv4側にはがっちりフィルタがかかっていてもv6側はポートが開いているということが多発するかもしれませんね。まぁv4側でもこのくらいポートが開いているサイトも多いのかもしれませんが、怖いですよね。
セキュリティ対策的には10年ぐらい後退するんじゃないかとかって、、、考えすぎかなぁ?
by jyake