Ubrukte IPv4-blokker er forsøplet

Ubrukte IPv4-blokker er forsøplet

De siste restene av IPv4-adresser hjemsøkes av snodig trafikk.

Det begynner å bli få nettverksblokker igjen i IPv4-protokollen. Og enkelte av de uallokerte blokkene har tilsynelatende blitt et riktig så populært sted for uønsket trafikk, uttalte Manish Karir, en forsker fra Merit Network, på North American Network Operator Group-konferansen mandag.

Man kan ikke sette opp en server med en ip-adresse som ikke er allokert, men det går fint an å skrive kode som peker til den foreløpige hvilende ip-adressen. Denne uventede aktiviteten i mørket kan ha et helt hav av kilder, alt fra ondartet angrepstrafikk til godartet test av applikasjoner under utvikling.

Trafikken representerer ikke en trussel i seg selv, men selskapet som får tildelt en allerede nedspammet ip fra internettleverandøren kan ende opp for å betale for den irrelevante trafikken, påpeker Karir ifølge Computerworlds nyhetstjeneste.

Bekymring for restblokker

IPv4 er designet for rundt 4,3 milliarder adresser, og nå begynner det å bli tomt. Det spås at det ikke vil være flere ledige adresser om et par år. Hvis noen av de gjenværende adressene er forurenset kan det skape enda mer tidspress for selskaper som ønsker nye, brukbare IPv4-adresser.

Adressene tildeles av regionale internettadministratorer, som regel internettleverandører, som deler adressene sine opp i mindre blokker til bedriftskunder. Det er nå få blokker som ikke er brukt i IPv4-protokollen. Det Karir har gjort, er å sjekke ut om disse ip-ene helt i bunnen av bøtta er like attraktive som de som allerede er delt ut.

- Det er en voksende bekymring om at disse blokkene er mindre ønskelige. Bekymringen gjelder de typer trafikk som allerede har blitt blokkert eller flyttet fra allokerte blokker til de som så langt har vært i bruk, sier han.

- Du har ringt feil nummer

Teamet hans har jobbet med teamet til APNIC, registraren til Asia- og stillehavsregionen, for å sjekke ut blokken 1.0.0.0/8. Årsaken til valget av denne blokken, er at den har vært brukt i eksempler og test-caser de siste årene. Forskerne fanget pakker fra blokken i ti dager, og endte opp med masse trafikk.

Noe av trafikken fant sted på subnettet 1.1.1.0, som er kjent for å være teststed for datamaskin- og ruterkonfigurasjon. Men det var ikke her hoveddelen av trafikken befant seg. Forskerne ble forvirret av trafikken på et annet subnett som sto for 35 prosent av trafikken til hele 1.0.0.0/8. De satte Wireshark-analyseprogrammet på saken, og fant ut at trafikken bestod av kjappe opptattsignaler og lydbeskjeder om at folk har ringt feil. «Hvis du vil ringe, vennligst sjekk nummeret og prøv igjen,» var et av opptakene som Karir kunne spille av for konferansedeltakerne.

Forskerne tror disse signalene er en sideeffekt av problemer med Session Intiation Protocol (SIP), som er vanlig i bruk for ip-telefoni og andre typer pakkebasert kommunikasjon. Signalene kan ha dukket opp i det ubrukte ip-området på grunn av feilkonfigurerte SIP-servere eller grunnet SIP-invite-angrep, der et system overlesses med ondsinnede SIP-invitasjoner.

- På grunn av en hardkodet standard er opptattsignalene konfigurert til å komme til akkurat det spesifikke subnettet, sier Karir.

Førstemann til mølla

Ved å kutte trafikk til de ti verste subnettene i 10.0.0/8-blokken, klarte de å redusere søppeltrafikken vesentlig. Men forskerne fant like fullt tilsvarende forurensing i flere andre uallokerte blokker.

- Det er vanskelig å forutsi hvor slik trafikk dukker opp, sier Karir.

- Hver mørkesone er forskjellig, ettersom spenningspunktene finnes på rare og uvanlig steder.

Han råder nettverksadministratorer som får en forurenset blokk om å snakke med internettleverandøren om å bytte dem. Men han advarer om at dette kan bli mer og mer vanskelig etter hvert som IPv4-adressene brukes opp.

- Det er bare 16 gjenværende blokker med 16,7 millioner adresser hver – for tre måneder siden var det 22 blokker, sier Karir.

Les om:

Nettverk