ShodanはNTPクライアントのIPv6アドレスを収集し、応答としてスキャンしました

IPv6の利点の1つは、一般に多数のアドレスと、特にユーザーに発行されるサブネットの長さのために、NATが不要であることです。 IPv6がサポートされているホームネットワークに接続したばかりのシングルボードサーバーに接続する人はいないようです。 彼らの正しい考えの誰もあなたのサブネット全体をスキャンしません。 IPv4インターネット全体を数十分以内にスキャンできる場合、/ 64(クライアントへの配信に推奨される最小サブネット)のみのフルスキャンには数万年かかります。 さらに、攻撃者が何らかの方法でIPv6アドレスを見つけた場合、 IPv6 Privacy Extensionsのサポートをいつでも有効にできます。これにより、アドレスが1日1回以上ランダム化されます。

外部リソースにアクセスしないシングルプレイヤーをスキャンする可能性は非常に低いようです。 ただし、ほぼすべてのコンピューターで構成されていることが1つあります。NTPによる定期的な時刻同期です。



NTP

大部分のLinuxディストリビューションは、pool.ntp.orgサーバーを使用して、NTP経由で構成された自動時刻同期でインストールされます。 判明したように、pool.ntp.orgの一部になるのは非常に簡単です。これはShodanが世界のさまざまな地域で5つのNTPサーバーを使用する利点を生かしたものです。 。 したがって、ntp.orgプールには、応答で接続するIPv6アドレスをスキャンするShodanマシンのIPv6アドレスが45個ありました。

スキャンの事実を発見し、Shodan Brad Heinサーバーをすべて計算しました。 すべてのスキャンNTPサーバーを手動で計算するのはかなり困難です。 NTPデーモンは、より正確な時刻同期のために多くのNTPサーバーに順番にアクセスします。 プロセスを自動化するために、ファイアウォールログを処理し、疑わしいホストに再度接続して、新しい一時IPv6アドレスを使用して応答して本当にスキャンすることを確認するスクリプト作成されました。

Shodanでホストの所有権を確認するのは非常に簡単でした-ほとんどすべてのサーバーはPTRレコードで* .scan6.shodan.ioの形式の実際のホスト名を使用しました



現時点では、Shodanサーバーはntp.orgプールから除外されています。



自分を守る方法は?

SANS 、ローカルネットワーク上に独自のNTPサーバーをセットアップすることをお勧めします。これは、GPS衛星またはGSM経由のオペレーターベースステーションの時刻を使用して、信頼できるNTPサーバーと同期されます。 たとえば、特別な指示に従って、NTPサーバーを構成することはすぐに安全です。 NTPプロトコルには、最近時刻を更新したすべてのクライアントのアドレスを発行するMONLISTコマンドがあるため、信頼できるサーバーを選択するときは注意してください。無効になっているサーバーを選択してください。



おわりに

BjørnHansen 、アクティブなIPv6アドレスを収集し、リストを第三者に販売するサービスが間もなく登場する可能性があると考えています。 「アクセスするWebサイトは慎重に選択してください。」



参照資料

arstechnica.com/security/2016/02/using-ipv6-with-linux-youve-likely-been-visited-by-shodan-and-other-scanners

netpatterns.blogspot.de/2016/01/the-rising-sophistication-of-network.html

isc.sans.edu/forums/diary/Targeted+IPv6+Scans+Using+poolntporg/20681



All Articles