Internet-weite Analyse von ICMPv6

Masterarbeit, Fachhochschule St. Pölten, Masterstudiengang Information Security, 2020

IPv6 ist ein fundamentaler Baustein des Internets, das seinen Vorgänger IPv4 auf Netzwerkebene ersetzen soll, um das Problem der Adressknappheit ein für alle Mal zu lösen. Obwohl das neue Adressformat bereits 1998 in RFC2460 spezifiziert wurde, erfolgt die Umstellung nur in langsamen Schritten. Im November 2019 allokierte die RIPE-NCC, zuständig für die Adressvergabe in Europa und Teilen Asiens, ihren letzten IPv4-Block und betonte erneut die Wichtigkeit des Umstieges auf IPv6. Während RIPE-NCC zur Umstellung auf IPv6 motiviert, steht man an anderer Stelle noch am Anfang. Betroffen sind insbesondere Internet-weite Scans, für die in IPv6 noch keine praktikablen Lösungen gefunden wurden, mit der schier endlosen Anzahl an möglichen Adressen umzugehen. Diese Arbeit baut auf der in der Bachelorarbeit entwickelten Adaption von ZMAP auf, um eine Internet-weite ICMPv6-Messung aller gerouteten /32- IPv6-Netzwerke durchzuführen. Im Gegensatz zu verwandten Arbeiten, die Echo-Replies auswerten, wird der Fokus auf die Interpretation der verschiedenen ICMPv6-Fehlermeldungstypen gelegt. Fehlermeldungen werden eingesetzt, um dem Sender mitzuteilen, warum ein Paket nicht zugestellt werden konnte. Bislang wurden diese bei Messungen ignoriert. Da sie jedoch eine potenzielle Informationsquelle zum Status des Zielnetzes darstellen, soll im Rahmen dieser Arbeit festgestellt werden, welche Typen sich in IPv6 im Einsatz befinden und was sich aus ihnen ableiten lässt. Die Ergebnisse dieser Arbeit zeigen, dass ICMPv6-Antworttypen sehr unterschiedliche Antwortzahlen liefern. Aus dem Antwortverhalten der Netzwerke konnten Cluster abgeleitet werden, welche es erlauben, aus Address-Unreachable- Antworten aktive Netzwerke abzuleiten. Dadurch wurde derWert von Fehlermeldungen für Internet-weite Messungen bewiesen. Darüber hinaus wurden Cluster entdeckt, welche grobe Fehlkonfigurationen aufweisen. Eine Zuordnung der Netze zu den RIRs zeigt geografische Unterschiede. Während Netzwerke der LACNIC häufig von Rate-Limiting betroffen sind, sind Netzwerke der ARIN und APNIC stärker von Firewalling betroffen. RIPE-NCC hingegen weist neben Aliasing auch größere Anzahl an eher offen konfigurierten Netzwerken vor. Fehlkonfigurationen wie Routing- Loops verursachen zusätzliche Lasten im IPv6-Internet und sollten schnell behoben werden.