APNIC文摘—偵測IPv6網路掃描活動(下)

上篇所述,研究團隊使用DNS backscatter來偵測IPv6網路掃描活動,該方法有幾項好處:

  1. 易於布署,可在DNS權威伺服器上作觀察;
  2. 由快取queriers自動觸發,因此可顧及隱私考量;
  3. 具有強健的功能,可對抗難以避開的惡意來源。

在IPv4 DNS backscatter中,團隊收集大量良性和惡意的IP作為標記數據,並應用機器學習技術對潛在的惡意IP進行分類。但是,由於缺乏快取queriers觸發IPv6中的反向查詢,團隊目前訂下探索式(heuristics-based)的規則,將查詢分為四類事件:內容供應商、大眾熟知的服務、路由器以及潛在的濫用內容(包含掃描檔和垃圾郵件)。

為了說明DNS Backscatter的有效性,團隊分析B-root DNS伺服器上,六個月期間所測量到的反向DNS查詢。理論上來說,根DNS伺服器能透過DNS快取機制抓取所有網路事件,包括可觀察到的DNS Backscatter的數量。團隊將探索式規則應用到數據中,平均每週偵測到6,700個事件來源方,結果發現大多數來源方都是良性的,但有0.24%(16個IP)是黑名單資料庫中列出的網路掃描,1.7%(112個IP)則是潛在的惡意活動。

根據該分析結果,研究團隊認為DNS Backscatter可成為有用的工具,讓網路營運商和網路安全專業人員偵測IPv6中的網路掃描。若對該研究內容有興趣,可參考團隊的研究論文

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Detecting IPv6 network scans

Scroll to Top