World IPv6 Day時のハニーポットの挙動
Published: 2011/06/27
6/8,9にWorld IPv6 Dayというものがありましたが、ちょうどそのころ、全然関係のないIPv6関連の試験を行っていた関係でIPv6でYoutubeなどを見て、いろいろなところに100Mbpsレベルのトラフィックを流しまくっていたのですが、その影響がw6dの結果にどのくらい出ていたのか若干気になっていたりします。。。
で「IPv6ネットワーク経由でとどくspam」とか「IPv6でのフィッシングサイトへのアクセス」というようなこともあったので、以前からIPv6網に設置しているハニーポットの、この日の状況を見ました。
ハニーポットといっても、ここでの例は、単にfirefoxなりthunderbirdなりが立ち上がっているだけの状態のクライアントに到達するトラフィックを見ていただけのものの例です。
しかもwindowsの方は特に何も見えなかったので、unixの例です。
6/8の9:00からトラフィックが増加し、6/9の9:00になくなるという予定通り?の挙動です。
定期的に見える大きなトラフィックはハニーポットの自律動作のために発生しているトラフィックで、このトラフィックがv6を向いたようです。
このハニーポットの動作を除いた具体的な通信相手はこちら。
通信相手
2001:200:141:feed::feed ← ftp.jaist.ac.jp 2001:200:601:10:206:5bff:fef0:466c ←ftp.kddilabs.jp 2001:4860::1:0:890 ← google/youtube 2001:4860::2:0:b7 2001:4860::2:0:c6 2404:6800:4004:805::1000 2404:6800:4004:805::1003 2404:6800:4004:805::1004 2404:6800:4004:805::1005 2404:6800:4004:805::1006 2404:6800:4004:805::1007 2404:6800:4004:805::1008 2404:6800:4004:805::1009 2404:6800:4004:805::100a 2404:6800:4004:805::100b 2404:6800:8007::65 : : : 2407:3000:6:175::12 ← ipv6.2ch.net 2610:28:1000:1401::fed0:2 ← fedoraproject.org 2610:28:3090:3001:dead:beef:cafe:fed4 2620:101:8001:5::2:6 ←www.mozilla.com
こちらも6/8の9:00からトラフィックが増加し、6/9の9:00になくなるという予定通り?の挙動です。
こちらのHoneyPot2は、HoneyPot1のような自律動作は止めた設定になっているので、純粋にv6網側から到達するトラフィック、OS等の動作により発生するトラフィックが見えます。
具体的な通信相手はこちら。
通信相手
2001:240:bb8f::f:10 ← ftp.iij.ad.jp 2404:6800:4004:805::1000 ← Google/Youtube 2404:6800:4004:805::1001 2404:6800:4004:805::1002 2404:6800:4004:805::1004 2404:6800:4004:805::1005 2404:6800:4004:805::1006 2404:6800:4004:805::1007 2404:6800:4004:805::1009 2404:6800:8003::71 2404:6800:8003::8a 2404:6800:8003::8b 2404:6800:8007::64 2404:6800:8007::65 : : : 2610:28:3090:3001:dead:beef:cafe:fed4 ← fedoraproject.org 2620:101:8001:5::2:6 ←www.mozilla.com
というわけで、基本的に「なにもなかった」ということになるわけですが、
観測された内容は、
- 自発的にgoogleへ問い合わせるトラフィックがv6側を向いた
という変化があっただけです。
この設定もしていないgoogle向けは何かと思ったのですが、
POST /safebrowsing/downloads?
safebrowsingの問い合わせでした。
google全体がAAAA応答したわけですから、safebrowsingも影響をうけたということのようです。
v6経由でも問題なかったようです。
というわけで、特に目立ったことはなにも見えなかったのですが、IPv6対応することによって、知らないうちに各種updateがv6側に向かい、それがうまかなくなることがないか?うまくいっていなかった場合にそのことに気づけるか?ということが一点気になりました。
by jyake