IPv6 Scanners: Strategy, Behavior, Intent

Abstract

Das Scannen im Internet ist eine weit verbreitete Methode, die sowohl in der Forschung und Wirtschaft als auch von böswilligen Akteuren genutzt wird. Während das Scanverhalten im gesamten IPv4-Adressraum untersucht wird, ist es im IPv6-Adressraum nicht möglich diesen komplett zu beobachten. Aufgrund der enormen Größe des Adressraums ist ein vollständiges Scannen nicht möglich. In dieser Arbeit wird das aktuelle IPv6 Scan-Verhalten analysiert. Hierzu wird der Netzwerkverkehr von vier Netzwerkteleskopen untersucht, die sich durch unterschiedliche Eigenschaften wie Präfixgröße, Reaktivität, DNS-Einträge, Aktivität, Einträge in Hitlisten und BGP-Announcements auszeichnen. Es wird analysiert, wie Scanner auf diese unterschiedlichen Eigenschaften reagieren. Die Ergebnisse zeigen, dass BGP-Announcements von Präfixen sofort deutlich mehr Aufmerksamkeit erregen als nicht annoncierte Subnetze. Darüber hinaus beobachten wir mehrere Zwei-Phasen-Scans. Untersuchungen der Payloads und Ports zeigen, dass die Scans auch Schwachstellenprüfungen enthalten. Die Erkenntnisse dieser Arbeit verdeutlichen, dass die Reaktionen von IPv6-Scannern durch gezielte Maßnahmen beeinflusst werden können, die bei einem Netzwerk Teleskop vorgenommen werden.

Internet scanning is a widely used method, applied in research and business as well as by malicious actors. While scanning behavior can be examined across the entire IPv4 address space, it is not possible to observe the entirety of the IPv6 address space. Due to the vast size of the address space, a complete scan is not feasible. This study analyzes the current IPv6 scanning behavior. For this purpose, the network traffic of four network telescopes is analyzed, which are characterized by different properties such as prefix size, reactivity, DNS entries, activity, entries in hitlists, and BGP announcements. The study investigates how scanners react to these different properties. The results show that BGP announcements of prefixes immediately attract significantly more attention than non-announced subnets. Furthermore, we observe several two-phase scans. Analyses of payloads and ports reveal that vulnerability checks are part of the scans. The findings of this work show that IPv6 scanners can be influenced by targeted measures applied to a network telescope.