cNotes 検索 一覧 カテゴリ

IPv6でのポートスキャン

Published: 2009/07/04

IPv6については、いろいろなイベントやミーティングで盛況だといわれてますが、これって狭い世界、一部の人だけの話であって、よくある世間ズレした、研究ネタ、技術優先でできたネタ、サービスが、一般人から客観的に見られれば、一目でまったくの当て外れ、コンセプト間違い、導入調整まちがいだと思われるのと同じ状況に見えるんですよね。どのイベントも同じ人たちが同じことをしゃべっているだけに見えるものはその傾向が強くIPv6はまさにそれじゃないかなと。別のもっと現状のインターネットビジネスをわかっている新しい人たちに中心になってもらうべきなんじゃないかなぁと思うしだいです。これってやっぱりおれたちが中心だといいたいだけとか?いや、まぁIPv6に限定した話ではなくインターネット全般に言えることなのかもしれませんが、、、

で、まぁ、とはいえ今更後には引けないIPv6ですので、否応なく対応していくことなるのでしょう。

ということで、数年前からIPv6網にも何種類かのハニーポットをぶら下げていたりします。

知らないうちにIPv6がアサインされてしまうフレッツとかありますし、自分のNWがいつの間にかDualStackになっていたとか、DNSからAAAAレコードが返ってきて実はv6側でホスティングサービスにつながってしまうなどということもだんだんありえる状況になりつつあります。(ってほどでもないのですが)

たとえば去年書いた記事

IPv6でのフィッシングサイトへのアクセス

のようなこともありうるわけです。

中でも、もっとも懸念しているのが、ここ10年以上かけて経験したさまざまなセキュリティ問題とそれに対する対策、経験がIPv6では置き去りにされてしまわないかという点です。これだけ移行に大失敗して、2000年問題的な脅迫で無理やり移行させようとしているわけですから、装置や、サービスのセキュリティ対策は置き去りなんじゃないかと。新しいネットワークサービスが出るたびに同じことを経験しますからこれはそれ以上でしょう。

これとかもそうですね。

経路ハイジャック に関連して 3ffe::/16

で基本に立ち返っていろいろ見ていこうかと(やっと本題)

とりあえず今回はポートスキャンについて。

基本的にIPv6につないでいるハニーポットには、IPv4のネットワークに接続している状況と異なり、ゴミパケット、攻撃パケットは検出されていません。

サービスに加入していると、

IPv6マルチキャストのパケットが

のようなパケットがとどいたりすることはあります。

ただこの状況はIPv6網経由で通信するマスユーザーの数が圧倒的に少ないことが最大の理由だと思っています。極端に言えば12〜3年前のインターネットと同じ状況。ユーザーが増えればそれに比例して増えるという歴史をたどるだろうと。

WormやbotのIPv6側で挙動も興味もありますが、歴史をたどる場合はまずツールからですね。IPv6で使えるツールはたくさんありますが、普通に使えるポートスキャンツールたとえば「Nmap」は、2002年からIPv6に対応しています。

ChangelogでIPv6に関する記述を抜き出すとこのような感じ。

 Nmap 4.85BETA10 [2009-06-12]
 o Nmap can now handle -PS and -PA at the same time when running nmap
  as non-root or using IPv6.  It now combines the two port lists [Josh
  Nmap's verbosity level (-v) is at least one or two. [Ron, Fyodor]
 o The --traceroute feature is now properly disabled for IPv6 ping
  scans (-6 -sP) since IPv6 traceroute is not currently
 
 Nmap 4.75 [2008-9-7]
 o Nmap now works with Windows 2000 again, after being broken by our
  IPv6 support improvements in version 4.65. A couple new dependencies
 
 Nmap 4.68 [2008-6-28]
 o Added IPv6 host support to the RPC scan.  Attempting this before
  the Nmap version detection DB. [Tom Sellers, Fyodor]
 
 Nmap 3.75 [2004-10-18]
 o Added --max_scan_delay parameter.  Nmap will sometimes increase the
  packet per second during a UDP scan.  So Nmap will try to detect
  options specified), Nmap allows this delay to grow to one second per
  right after the IPv4/IPv6 [address] element.  Apparently this is
 
 Nmap 3.55 [2004-7-7]
 o Added MAC address printing.  If Nmap receives packet from a target
  scanning machine, Nmap will print out the target MAC address.  Nmap
  during IPv6 scans from certain platforms to some firewalled targets.
  Nmap has accepted both names for years and will continue to do
 
 Nmap 3.40PVT14 [2003-9-4]
 o Added IPv6 support for service scan.
  Nmap which service checks to try first for SSL-wrapped ports.  The
  submission.  Nmap now detects Dave Curry's Webster dictionary server
 
 Nmap 3.25 [2003-4-19]
 o Fixed some compilation problems on systems without IPv6 support --
 
 Nmap 3.10ALPHA2 [2002-8-31]
 o Fixed compilation and IPv6 support on FreeBSD (tested on
 o Fixed compilation and IPv6 support on Solaris 9 (haven't tested
 
 Nmap 3.10ALPHA1 [2002-8-28]
 o IPv6 is now supported for TCP scan (-sT), connect()-style ping
  IPv6 numbers or DNS names.  Netmask notation is not currently
  supported -- I'm not sure how useful it is for IPv6, where even petty
  If there is demand, I may integrate more of that into Nmap.

で、まぁたとえば、ちょっと古めのnmapになんのオプションもつけず簡単にこんな結果が得られます。IPv6側ではこのようなサイトがたくさんみつかることでしょう、、、

 # nmap -6 2001:xxx:xxx:xxx::xxx
 
 Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-07-01 21:30 JST
 Interesting ports on 2001:xxx:xxx:xxx::xxx:
 Not shown: 1676 closed ports
 PORT      STATE    SERVICE
 22/tcp    open     ssh
 80/tcp    filtered http
 82/tcp    open     xfer
 # nmap -6  XXX.XXX.XXX
 
 Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-07-01 22:59 JST
 Interesting ports on XXX.XXX.XXX (2001:2xx:x:xxx:xxx:xxx:xxx:xxx):
 Not shown: 1670 closed ports
 PORT     STATE SERVICE
 21/tcp   open  ftp
 22/tcp   open  ssh
 25/tcp   open  smtp
 53/tcp   open  domain
 80/tcp   open  http
 110/tcp  open  pop3
 111/tcp  open  rpcbind
 1009/tcp open  unknown
 2049/tcp open  nfs
 2401/tcp open  cvspserver

たとえばv4側にはがっちりフィルタがかかっていてもv6側はポートが開いているということが多発するかもしれませんね。まぁv4側でもこのくらいポートが開いているサイトも多いのかもしれませんが、怖いですよね。

セキュリティ対策的には10年ぐらい後退するんじゃないかとかって、、、考えすぎかなぁ?

[カテゴリ:IPv6観察日記]

by jyake