cNotes 検索 一覧 カテゴリ

World IPv6 Day時のハニーポットの挙動

Published: 2011/06/27

6/8,9にWorld IPv6 Dayというものがありましたが、ちょうどそのころ、全然関係のないIPv6関連の試験を行っていた関係でIPv6でYoutubeなどを見て、いろいろなところに100Mbpsレベルのトラフィックを流しまくっていたのですが、その影響がw6dの結果にどのくらい出ていたのか若干気になっていたりします。。。


で「IPv6ネットワーク経由でとどくspam」とか「IPv6でのフィッシングサイトへのアクセス」というようなこともあったので、以前からIPv6網に設置しているハニーポットの、この日の状況を見ました。

ハニーポットといっても、ここでの例は、単にfirefoxなりthunderbirdなりが立ち上がっているだけの状態のクライアントに到達するトラフィックを見ていただけのものの例です。

しかもwindowsの方は特に何も見えなかったので、unixの例です。


6/8の9:00からトラフィックが増加し、6/9の9:00になくなるという予定通り?の挙動です。

定期的に見える大きなトラフィックはハニーポットの自律動作のために発生しているトラフィックで、このトラフィックがv6を向いたようです。

このハニーポットの動作を除いた具体的な通信相手はこちら。

通信相手

 2001:200:141:feed::feed   ←  ftp.jaist.ac.jp 
 2001:200:601:10:206:5bff:fef0:466c ←ftp.kddilabs.jp
 
 2001:4860::1:0:890       ← google/youtube
 2001:4860::2:0:b7
 2001:4860::2:0:c6
 2404:6800:4004:805::1000  
 2404:6800:4004:805::1003
 2404:6800:4004:805::1004
 2404:6800:4004:805::1005
 2404:6800:4004:805::1006
 2404:6800:4004:805::1007
 2404:6800:4004:805::1008
 2404:6800:4004:805::1009
 2404:6800:4004:805::100a
 2404:6800:4004:805::100b
 2404:6800:8007::65
 : 
 :
 :
 
 2407:3000:6:175::12          ← ipv6.2ch.net
 
 2610:28:1000:1401::fed0:2  ← fedoraproject.org
 2610:28:3090:3001:dead:beef:cafe:fed4 
 2620:101:8001:5::2:6             ←www.mozilla.com

こちらも6/8の9:00からトラフィックが増加し、6/9の9:00になくなるという予定通り?の挙動です。

こちらのHoneyPot2は、HoneyPot1のような自律動作は止めた設定になっているので、純粋にv6網側から到達するトラフィック、OS等の動作により発生するトラフィックが見えます。

具体的な通信相手はこちら。

通信相手

 2001:240:bb8f::f:10    ← ftp.iij.ad.jp
  
 2404:6800:4004:805::1000  ← Google/Youtube
 2404:6800:4004:805::1001
 2404:6800:4004:805::1002
 2404:6800:4004:805::1004
 2404:6800:4004:805::1005
 2404:6800:4004:805::1006
 2404:6800:4004:805::1007
 2404:6800:4004:805::1009
 2404:6800:8003::71
 2404:6800:8003::8a
 2404:6800:8003::8b
 2404:6800:8007::64
 2404:6800:8007::65
 :
 :
 :
 
 2610:28:3090:3001:dead:beef:cafe:fed4 ← fedoraproject.org
 2620:101:8001:5::2:6                  ←www.mozilla.com

というわけで、基本的に「なにもなかった」ということになるわけですが、

観測された内容は、

  • 自発的にgoogleへ問い合わせるトラフィックがv6側を向いた

という変化があっただけです。

この設定もしていないgoogle向けは何かと思ったのですが、

 POST /safebrowsing/downloads?

safebrowsingの問い合わせでした。

google全体がAAAA応答したわけですから、safebrowsingも影響をうけたということのようです。

v6経由でも問題なかったようです。


というわけで、特に目立ったことはなにも見えなかったのですが、IPv6対応することによって、知らないうちに各種updateがv6側に向かい、それがうまかなくなることがないか?うまくいっていなかった場合にそのことに気づけるか?ということが一点気になりました。

[カテゴリ:IPv6観察日記]

by jyake