 Wir haben hier die deutsche Übersetzung. Bitte einen warmen Applaus an Tobias Fiebich, der über IPv6 Global Scanning reden wird. Herzlich willkommen. Und diese Übersetzung mit Sebastian und Philipp, Feedback C3T-Hashtrack, Twitter-Account C3Lingo. Ja, schön, dass ihr es alle geschafft habt hierhin, obwohl es 11 Uhr ist, obwohl das ist nicht nur meine eigene Arbeit hier, zusammen mit anderen der UC Santa Barbara und zunächst über mich. Ich habe einen Bachelor in Kognitiver Wissenschaft und irgendwie habe ich gemerkt, dass WhiteWare nicht richtig mein Leben ist, dann habe ich also einen Master in Network Engineering mitgeholt. Und seitdem versuche ich mir der Wenige verzweifelt, einen Doktortitel an der TU Berlin zu bekommen. Meine Forschungsdessen kann man zusammenfassen als im Wesentlichen, was niemand anders macht, weil Leute sagen, nicht, dass es genial ist, sondern, ach, das ist dumm, dass wir niemals funktionieren. Vielleicht kann man es Fehlkonfiguration nennen. Ihr kennt diese netten Leute, die Daten banken auf dem Internet ohne Authentifizierung betreiben. Ich denke, jemand hat seinen Provisioning-System mit ISP auch so gehandhabt, was nicht so toll war für die Konnektivität der Kunden. Es gab auch andere schöne Beispiele. Mitverkollegerheiten.de war ziemlich gut im Bereich Backups. Sie haben die sogar verschlüsselt und haben den Schlüssel mit abgelagert. Und es gibt immer den Spaß, irgendein Device zu finden, das zu einem ganz sicheren Hoster gehört, schreibbar auf dem Netz. Und etwas, was ich lernen musste, es gibt so etwas wie Remote-DMA, was könnte besser sein, als DMA über das Internet zu machen. Also im Wesentlichen, was auch immer ich heute erzähle, hat nun damit zu tun, so etwas zu finden. Aber nun zuerst die ersten Sachen ethische Prinzipien. Ich sage euch vielleicht etwas über ein schönes Zuhil, mit dem man viel Spaß haben kann. Aber man hackt nicht eine Bank in einem anderen Bundesstaat von zu Hause, dann kriegt ihr Ärger, folgt diesem Rat. Denkt über dieses Event. Denkt an die Bandbreite, die ihr habt, die Bandbreite, die andere Leute haben. Denkt an die, die sich hier zwischen den Feiertagen eine schöne Zeit machen und nicht arbeiten wollen, was vielleicht passiert. Und dann DNS-Service ist down, andere Services sind nicht mehr verlässlich, das ist nicht schön. Zurück zu meiner Motivation. Und ein Überblick über Verwandte arbeiten. Das erste wird jetzt ein bisschen trocken sein. Wenn es euch jetzt zu langweilen beginnt, es gibt eine spezielle Folie, die euch bittet, die Personen neben euch aufzuwacken, aufzuwecken, weil dann die witzigen, die spaßigen Sachen anfangen. Lauft also bitte nicht weg. Am Anfang gab es Z-Map, das war etwa vor drei Jahren. Und das war der Anfang all dieser Dinge, mit denen man dachte, wir können das gesamte IPv4-Internet durchscannen. Das war eine große, große Menge Spaß. Ich denke, vor zwei Jahren gab es hier etwas in einem Talk, in einer großen Selle, wo man so etwas wie Chat-Volet hatte, als ein WNC-Service. Das bringt uns jetzt an den zweiten Teil, es hört auf lustig zu sein, wenn man irgendwelche säure Fabriken in Indien findet oder so etwas. Z-Map wurde sehr stark benutzt, um nach Hardbleeds zu scannen und das zu analysieren. Z-Map wurde benutzt, um, naja, um offene TCP-Pots zu finden, wo man Schlüsselaustausch beobachten konnte. Wie funktioniert Key-Sharing zwischen IHPS? Es gab also Forschung über Angriffe und Verstärker für Verstärkungsangriffe. Und die Idee, dass man nun alles durchscannen kann, das hat der Security-Community sehr geholfen. Aber wie es mit allen guten Dingen ist, oder auch noch nicht ganz so guten Dingen in diesem Fall, IPv4 kommt an sein Ende. Es gibt nur so und so viele Adressen, zwei auch 32 in Theorie, und es gibt viele Arbeiten, die sich darum kümmern, wie dies nun immer mehr und mehr ausgelehrt wird, also ausgeschöpft wird. Und was nun passiert ist, dass man IPv6 vor etwa 24 Jahren eingeführt hat oder vielleicht noch länger her. Mit IPv6 gibt es sehr viel mehr Adressen, etwa zwei hoch 128 theoretisch. Und deswegen kann man also sagen, dass IPv6 tatsächlich langsam angenommen wird. Dieser Graf hier ist ein Bandbreiten-Graf von diesem Event. Und wir sehen zur Spitzenzeit, zur Spitzenzeit haben wir etwa 25% des ausgehenden Traffics ist IPv6. Das ist ein bisschen beängstigend, denn sobald man das auf das User-Network loslässt, gibt es eine Menge Traffics an zwei oder drei große Player wie Google, YouTube und Facebook. Aber es zeigt immer noch, dass IPv6 tatsächlich im Kommen ist. Wenn wir das aber benutzen für selbst für Z-Map und IPv6, wir müssen mal warten so etwa für, ich kann das nicht wirklich aussprechen, das ist eine wirklich riesige Einzahl, 7 mal 10 noch 23 Jahre. Ich habe nicht vor, so lange zu leben. Also, wie sieht es mit verwandten Arbeiten aus, wenn wir uns IPv4 anschauen? Das war interessant, nicht nur in der Security-Community, aber insbesondere dort hat sehr viel geholfen. Deshalb möchten Leute das selbe für IPv6 haben. Und die aktuelle Arbeit ist relativ fokussiert, darauf IPv6-Adressen in der freien Wildbahn anzuschauen. Zu einem Beobachtungspunkt zu haben, wo man Dinge lesen kann, dass Informationen über diese Adressen liefert, nicht unbedingt alles zu scannen, aber beobachten zu können. Es gibt z.B. die Access-Logs von Fremdsky, Plonker Berger, die Access-Logs eines großen Content-Delivery-Networks. Chitch und et al beschäftigen sich hauptsächlich, haben die wenigsten Beobachtungspunkte im Eintest. Die haben verschiedene Datenquellen, nicht diejenigen, die ich vorstellen werde. Dann gibt es Gasser et al. Sie haben aus einem bestimmten Grundzugang zu einem großen Europäischen IXP. Und können also Informationen über benutzte IPv6-Adressen in der freien Wildbahn bekommen. Gehen wir schnell hier hindurch. Also wir haben hier eine schöne Arbeit bekommen über die Datenquellen, die benutzt wurden, um zum Trainieren eines Werkzeugs benutzt wurden, um Antworten zu hält zu sagen und Antworten selbst schicken zu können. Sie benutzen hauptsächlich Daten ihres Content-Delivery-Networks. Sie haben eine winzige Portion ihrer Daten, die ich mit den Daten zu 100% präsentiere. Das hat bestimmte Nachteile, die Logs des CDN Repräsentationen nicht wirklich sehr viele Server, insbesondere nicht Server im großen, weiten Internet. Daten dieser Art sind in ihrer Natur sehr klar gewichtet für Network-Devices. Und in einer anderen Art wurden versucht aktive IPv6-Adressen hervorherzusagen durch Daten. Dann ist Giz et al. haben verschiedene Meinings durchgeführt von Datenquellen. Sie haben DNS-Recursors. Sie haben aber auch etwas wirklich Lustiges, Spaßiges. Sie haben PTA-Lookups durchgeführt für jede Adresse im V4-Bereich, Adressraum. Und dann haben sie ein Vierfach-A-Lookup für die entsprechende Adresse durchgeführt, den vollen Domainnamen. Das hat nicht inspiriert. Dadurch habe ich gemerkt, dass IPv6-Security nicht so toll ist, also in Wirklichkeit furchtbar ist. Aber okay. Also, um das zusammenzufassen, ich habe in meinen Keller geguckt, habe keinen CDN dort gefunden, aber auch keinen IXP in meiner Näherin umgeben gefunden. Und als ich meinen ISP, mein Internet-Provider gefragt habe, ob er mich seine Recursor-Axis-Logs lesen ließ, dann bekam ich auch einen von den Server für Nein entheald. Auf der anderen Seite, wenn ich nur ein Politiker wäre, würde ich sagen, ah, wir haben dieses Internet of Things, wir müssen wirklich dieses Scanning brauchen, um all die Menschen zu schützen. Und deshalb, naja, wir kamen dann mit einer Metologie. Metodologie kamen wir dann. Das ist jetzt der Punkt, wo ihr die Personen neben euch aufwecken wollt, die sich über die anderen Arbeiten nicht wirklich informieren wollte. Also, zunächst mal am Anfang, zum Anfang, wir hatten, haben eine weitere Person, die ich gerne hier nennen würde, Peter van Dijk. Ich bin nicht ganz sicher, ob ich dieses holländische IJ aussprechen kann. Aber ich hoffe, naja, ich habe es versucht. Also, ich habe eben bei der letzten IETF in Berlin kennengelernt. Er ist Niederländer und ich glaubte ihm, als er über DNS gesprochen hat. Und ich höre, dass die Niederländer gut damit sind. Und er hat also über, ich habe dann den Schluss gezogen, dass ich über Reverse-Lookup in DNS in IPv6 mich beschäftigen sollte. Und ich sollte damit mich dahin leingraben. Wie gesagt, also Niederländische Leute kennen wohl DNS, versuchen wir das mal. Also, fangen wir an mit einer kurzen Wiederholung. IPv6-Adressen, wie gesagt, 128-Bit. Man kann sie in 32 sogenannten Nibbles darstellen. Es sind also diese kleinen Dinge, die eine Hexziffer darstellen oder die ja durch eine Hexziffer dargestellt werden, zum Beispiel hier. Und Reverse-DNS ist eine Art, um für eine IP-Adresse, die man bereits kennt, den vollen Domain-Namen zu bekommen. Man tut dies, indem man eine Transformation durchführt. Erst mal rückwärts, auflisten. Dann setzt man Punkte zwischen den Nibbles für verschiedene Levels in dem Baum. Es gibt für die Top-Level und secondary-Level hat man IPv6-Punkt-Adre. Und dann hat man also ein DNS-Record und da kann man dann eine Abfrage mitstarten und dadurch bekommt man dann den Domain-Namen. Das nächste relativ wichtige hier ist, wie funktioniert DNS? RFC 1034, Rick has to comment the Standard-Papier. Ich hoffe, dass es richtig ... Ich glaube, jemand in dem Publikum wird dann mich zusammenschlagen, wenn ich das nicht richtig hinkriege. Also das RFC ist nicht ganz klar ... Ich habe das nun versucht, klarzustellen hier ... Das wurde versucht, klarzustellen in RFC 8020. Anex Domain ist eine Antwort, die man bekommen kann, die sowas heißt wie er ist. Nichts hier oder irgendwo anders unter dieses Baum ist. Also nicht das, was du gefragt hast und nichts darunter im Adressbaum. Was diese Technik nun im Wesentlichen ist, ist, dass heruntersteigen in Bäume für solche Bäume, in denen wir einen No-Error für den Root-Node bekommen haben. Wir haben also hier eine root.ip6.apa, was man hinten an die umgekehrten Adressen anhängt. Und dann geht man los mit der ersten Hex-Stelle danach, bekommt dann teilweise Anex Domain. Und für die Baumknoten, für die man keinen Fehler bekommt, steigt man weiter runter und bekommt immer ... Immer dann, wenn man ein Anex Domain bekommt, hört man auf. Und dann haben wir zumindest keine Daten, aber einen No-Error für die Bäume, in die man weiterhin einsteigen möchte. Also schauen wir das mal an. Ich habe niemals eine wirkliche Kunstkurs absolviert. Also wir fangen hier mit der Null an, bekommen sofort einen No-Error. Und können in diesen Baum hineingehen, also auf der nächsten Ebene, die Null, und dann können wir das dann wieder tun. Und mit dem nächsten Tree bekommen wir vielleicht dann F und so. Und wenn wir das 32 mal machen, weil wir 32 Nibbles in einer IP-Force-Adress haben, dann können wir tatsächlich am Ende bei einer benutzten IP-Force-Adress ankommen. Wir fangen also mit der Null an. Es ist eine Depth-First-Suche in einem riesigen Baum, der aufgespannt wird durch den Raum der umgekehrten DNS-Adressen. Umgekehrten IP-Force-Adressen. Das ist also natürlich nichts Direkt Neues. Wir haben RFC 7707, dass dies diskutiert als eine mögliche Technologie, um Netzwerke zu durchforschen in kleineren Netzwerken. Und sie haben tatsächlich eine Referenz auf Peter van Dijk, der diese Technik mir empfohlen hat. Und er hat einen kleinen Blockartikel darüber geschrieben, vor etwa drei bis vier Jahren, und eine Python-Implementierung bereitgestellt, mit der man also das Scannen wirklich durchführen kann, also diesen DNS-Prefix-Scan durchführen kann. Dies war auch der Startpunkt für das Tool, das am Ende dieses Talks für euch bereitgestellt wird. Zunächst mal, was habe ich benutzt, um dieses Scans durchzuführen? Na ja, es sind die Maschinen, die wir für Maschinelles lernen, benutzen können an meiner Uni. Sie waren nicht so glücklich darüber, dass sie das abgeben mussten für meine Scans. Wir haben also etwas wie akademischen Code, nicht production-ready, nicht für produktive Zwecke einsetzbar. Alle, die jetzt lachen, arbeiten in einem Start-up. Und ich bin ziemlich sicher, dass jemand, der besser coden kann, als ich, ein echter Programmierer, eine Programmiererin, die solchen Code schreiben kann, dass diese Person auch so einen Code auf dem eigenen Laptop ausführen kann. Ja, also das Erste, was wir machen hier, wenn wir darüber nachdachten, war, dass wir eine Depth-First-Zuche machen. Das ist eine ziemlich schlechte Idee, wenn der erste Teil des Baums auf einem wirklich langsamen DNS-Serve auf der anderen Seite der Welt ist. Wir wollen also die Möglichkeit haben, eine Art von breite Erst-Bread-First-Zuche zu machen, um die verschiedenen DNS-Server zu nutzen. Und dafür gibt es also eine, wird etariiert in vier Nibbleschritten. Im ersten Schritt etariiert man bis zu einer Länge von etwa vier Nibbles für alle möglichen PTA-Einträge. Und dann damit man die und für all diese macht man wieder die Aufzählung weitere vier Nibbles tief. Und je nach dem Flavor von dem eigenen Use-Case kann man von 16 direkt bis zu 32 heruntersteigen. Das hat vielleicht Vorteile oder Nachteile. Wir werden das später sehen, wenn wir uns die Daten anschauen. Lies war also im Wesentlichen, was ich direkt nach ITF gebaut habe. Ich habe das zusammen gehackt und bin dann ins Büro gegangen, habe das laufen lassen. Ich war ziemlich glücklich, ich dachte, dass eine Woche laufen ließ, habe ich etwa 70 Millionen Einträge gefunden. Also, ich habe dann in die Daten hineingeschaut und fragte mich, warum ich diese komische Mail bekram von einem großen Internet-Provider, der sich darüber beschwerte, über den vielen Traffic von meiner Maschine anieren. Und ich lernte über ein sehr schönes Feature, was man in den Reverse-Zonen haben will, wenn man Networks-Netzer von Entverbraucherinnen bereitstellen will. Das sind Dynamic Reverse-Zones. Also, wenn wir ein großes Netzwerk haben, möchte man nicht manuell all diese 264 Reverse-Entries für alle möglichen User, die man haben könnte, setzen. Man setzt also ein Skript auf im DNS-Server, der einen Reverse-Domain-Namen generiert für jeden Pointer-Record. Das ist vielleicht auch statisch. Und ich habe auch komisch-dynamisch generierte oder da haben die viel leicht dynamisch waren, die immer 32-Bits zufällig zu enthalten schein-Schienen. Und so bekommt man auch niemals eine Annex-Domain-Meldung. Wenn der Algorithmus einfach nur dumm alles durchgeht, wird eine Menge Records Einträge finden. Aber das gehört eben, ist genauso groß wie diese Dynamic Reverse-Zone ist. Also, ich habe über eine Horistik nachgedacht. Und ich habe zuerst nachgedacht, weil ich Computer-Linguistik mache, habe ich, wenn man jetzt also FQDNs-Domain-Namen bekommt, herausfinden, ob die irgendwie verwandt sind. Und es zeigt sich, dass das nicht wirklich funktioniert. Das ist nicht wirklich performant. Was viel besser funktioniert, ist einfach nur zu versuchen, eine statische Anzahl Records durchzufragen. Und wenn das existiert, dann nimmt man an, dass dieser Teilbau dynamisch generiert worden ist. Also, drei Records ist nun mal eine persönliche Präferenz. Und die Idee, dass man direkt auf 32 aufhört, mit 012 aufhört, ist nicht nur eine ganz persönliche Präferenz. Das wurde mir empfohlen. Es wurde auch empfohlen, das mit Zufalldaten zu machen. Und dann hat man also ausreichend nicht blockierende Entropie. Okay. Vorher Frage, aber das funktioniert tatsächlich. Ich benutze es, ich benutze das wieder gerne. Und ich fand 1,6 Millionen Einträge. Ich fing einmal 17 Millionen, jetzt habe ich noch 1,6 Millionen. So, ich war etwas irritiert. Das hat mich zu einem anderen netten Punkt gebracht. Zu dem RFC 8080 Compliance. Und Sie haben tatsächlich einen X Domain geschickt, anstelle eines NO Error. Und es gibt ein DNS, auf dem IPS Pro Aper läuft. Das sendet einen X Domain, weil es keinen konkreten Eintrag hat an diesem Punkt. Und dann sieht man nicht 0 an 0 Punkt, F Punkt da, sondern also für Knoten, die nicht existieren, aber für die Kinder Knoten existieren. Ich habe mich am IP6 Aper angefangen. Ich habe angefangen, diese Unterbäume. Ich habe einen lustigen Algorithmus dafür gebaut, wo er bei jedem Schritt, bei jedem Nibbellänge erinnert euch ein paar Folien zurück. Nach ein paar Nibbels würde ich die Folien abschneiden und die Folien wieder hinzufügen, so dass ich bei jeder Wiederholung Bekomme ich die ganzen Informationen von meinem Seed-Record? Wie wurde es noch genannt? Irgendwas mit BGP, wie ich vergesse immer, die sind öffentlich verfügbar und sind dokumentiert in dem Skript, die zu diesem Talk veröffentlicht werden. Andere Quellen sind natürlich der Algorithmus, wo die Quay-Lookups zu uns haben und was immer für ein Datensatz man seine Hände dran bekommt. Man kann zum Beispiel, wenn man zum Beispiel eventus mit vielen Leuten, die mit einem IPv6 arbeiten und dann den Netzwerk abgreifen, was ich nicht empfehle zu tun, dann kann man natürlich auch das als Quelle benutzen. Mit diesem Seed-Set habe ich das Programm nochmal gelaufen und diesmal für drei Tage und auch für 80 Körner und bekam 5,3 Millionen Einträge, was wieder ein bisschen klein ist. Was zu dem Zustand von IPv6 ist, das ist noch ziemlich ordentlich. Es zeigt nicht ein wirklich voll volles Bild, was ein sehr sehr großes Unterteil. Aber ich war immer noch nicht zufrieden mit der Geschwindigkeit von diesen und parallelisiert es noch ein bisschen mehr. Weil mein Server noch nicht wirklich sehr so beschäftigt war und dann habe ich das mit 400 Sets gelaufen. Es lief schneller, aber ich fand weniger. Was ich lernen musste, die IP, eine IP-Adresse, die hatte keine Sockets mehr. Und dann macht ich es auf mehreren Maschinen mit mehreren Adressen, um mehrere Heitreds zu machen, was auch noch hier entfällt. Wenn man das nur noch benutzt, dann benutzt das hier ein LocalResult benutzt. Der LocalResult, der euch bei Netzwerk Operations zuzufügen stellt, verlängert ziemlich die Länge dieser Scans. Und rennt es nicht gegen euren Speedboard. Das ist der Start von unserer Fallstudie. Das erste, was ich hier rein angucke, was ich geplottet war die Runden, die ich gebraucht habe. Und man sieht eine nette Verteilung zwischen sehr strukturiertem Sohn und Sohn. Die Zeile 1, die links auf der Linke sieht man, dass man mit mehr Queries weniger Einträge findet. Das hier sind die Strukturierten, die wegen der Struktur mit weniger Queries gefunden wurden. Aber ich habe mir ein Spaßpart versprochen. Man kann es auch benutzen, um etwas Bestimmtes zu gucken. Von diesem Daten-Set kann man bestimmte Netzwerke raussuchen. Dann kann man sehen, wie die Software von Software-Bereitstellern wie die bei dem Service Provider zugefügt werden. Das nächste wird dem Leser als Übung überlassen. Mir wurde erzählt, dass dies zur KTM schon zu langweilig ist. Und deswegen habe ich an etwas anders geguckt, was noch ein bisschen mehr Spaß ist. Ich selber mache nicht viel Aktienhandel, aber wenn ihr eine IPv6-Netzwerke guckt, dann habt ihr sehr viele Adressen. Es wird alles mögliche mit IPv6-Adressen, die adressieren alles. Wenn ihr euch ein auf solches Netzwerk guckt, dann startet ihr hier an September. Mit 64 K of Hosts. Dann seht ihr 67 K of Hosts. Dann nimmst du einige Monate später ein Rekord Sales Quarter. Und dann der IAS Provider. Das ist eine Möglichkeit, wofür ihr das nutzen könnt, um Informationen auf den Wachstum von Unternehmen zu nutzen. Das Witzigste für mich, was ich jetzt machen konnte aus der Seeküte, ist GANS. Wir wissen alle, was da herauskommt. Das war wirklich das. Das erste, was ich dann gemacht habe, war, einen IXP anzuschauen. Ich würde jetzt gerne erwähnen, dass dies alles meine persönliche Meinung ist. Ich repräsentiere hier niemanden, keine Verbindungen zu unternehmen oder so etwas. Klick also. Wir haben hier einige Hosts, 64 Netze in blau und 48 Netze in rot und 32 Netze in grün. Gehen wir ein bisschen heraus, da haben wir auch schwarze Knoten. Dies sind Knoten, die aus irgendeinem Grund mit mehreren Slash 64-Adressen oder anderen verbunden sind. Nachdem wir das importieren, sieht das mehr aus wie irgendein komischer Würfel. Aber es ist im Wesentlichen ein gerichteter Graf, den man sortieren kann. Und man kann das ein bisschen auseinander posten, um die Struktur ein bisschen zu erkennen. Und dann kann man witzige Labels noch daran anbringen. Dann kann man sich anschauen, was man dann sehen kann. Dies ist das Netzwerk eines großen IXP, also ein Internet-Exchange-Punkt. Also zum Beispiel hier in Hamburg, das Peering-Netzwerk von einem Hamburger IXP. Sie haben natürlich auch eine Dependance in Frankfurt. Und das Schöne, was man hier also sagen kann, ist, unser schwarzer Freund hier kann das sehen, dass wir ein Netzwerk dort hinter dem Peering-Netz in Frankfurt haben. Ein Kunden dort färben auch diese berühmte Black-Houling-Infrastruktur, die man hier sieht. Die ist verbunden mit ihrem Provisioning, ihrem Bereitstellungssystem und ihrer Interconnect-Infrastruktur. Und die Firewall-6 ist wohl ihre zentrale Firewall in Frankfurt, FW6, mit einer Menge von Hosts, die damit verbunden sind, zum Beispiel Elasticsearch, elastische Suche für Kundenabrechnungen und Daten über Datenfluss. Nun, ich denke, dass Nerds sich mehr für andere Netzwerke interessieren. Hier also ein Beispiel über NASA.gov. Es gibt tatsächlich noch etwas größere Topologien, die man sich vielleicht anschauen will. Kennt irgendjemand Dot-Mill? Also kleine Seite, das notiert seine Seite. Ich mache also auch Network Operations. Nun schauen wir uns das momentan einzige Netzwerk an, weil dem ich das Gefühl habe, dass ich es besser kenne als das Netzwerk bei dieser Konferenz hier. Und aus Gründen wird dieses Netz nun anonym bleiben. Die Datenköln sind aber, die Datensätze sind eigentlich in der Öffentlichkeit. Also, machen wir also eine Reise, eine Große in dieses Netzwerk. Wie alle guten Netzwerke, hat es ein Grenzrouter, ein Borderrouter und einige Portal-Systeme für administrative Schnittstellen und vielleicht auch hier Netzwerke für den User-Zugriff. Sie haben auch irgendwelche Netzwerkinfrastruktur für Hosts wie Big Brother, was tatsächlich ein uraltes Beobachtungsmonitoring-System ist, möchte ich schnell sagen. Und dafür haben sie nun einige Menge Server. Aber anscheinend, man kreieren sie gerade auf Prometheus, Prometheus. Also schauen wir uns ihre Infrastruktur an. Wie läuft das bei denen ab? Sie haben eine Menge Open-Source-Software. Wir sehen Gen2 als Hostnamen. Kerberos, vielleicht nicht so. Und sie haben auch einen richtigen Production-Host. Sie haben außerdem einen... Was war das? Alahu Akbar oder was war das? Was nicht denken ist, dass es vielleicht ein Honeypot ist. Aber was mich am meisten beruhigt hat, ist dieser hier, Glados. Hieß das nicht Gladios eigentlich, sagt der Besetzer? Etwas mehr ernsthaft, was uns das auch lehrt, ist, dass diese Netzwerke von Nerds betrieben werden. Also, etwas mehr spaßige Dinge auf öffentliches Verlangen. Tactical Internet of Things. Die Bearbeitungen hier, naja. Aus irgendwelchen Gründen ist es nicht opportun, hier die IP-Kühlschränke in Militärinstallationen zu enthüllen. Noch etwas Schönes, was wir in unseren Datensätzen fanden, ist der TCP-660-Nump, die Zahl der Backplane. Es ist natürlich ein Platzhalter, weil aus Gründen... Ich habe also zu den Leuten, zu den Internetleuten dieser Firma Kontakterkennung genommen und gefragt, ob ich darüber reden kann. Und sie sagten, naja, also... Wenn wir einige dieser IP-V6-Adressen durchscannen, dann finden wir einige TCP-Ports, die offen sind. Auf Hosts, die auch Ternet oder sowas offenlegen oder etwas, was Feedback-Bondings aussieht. Also, die Ports, die auf den Slides sein sollten, hängen mir jetzt zusammen mit Technik, die man nicht auf einem Backbone-Router finden sollte. Nachdem ich mit einigen Freunden sprach, fand ich heraus, dass diese Ports eigentlich nur auf Localhost offen sein sollten. Wie es für bestimmte Backplane-Services benutzt wird, der Verkäufer wusste nicht mal, wie die Kunden es geschafft haben, diese Ports nach außen offen zu machen. Dann haben wir DHCP-V6. Wir kennen alle die Probleme von Devices, die auf einmal IP-V6-Adressen bekommen und dann erreichbar werden. Meine Lieblingsgeräte, meine Gründungsplätze sind Drucker. Was man oft sieht, ist, dass diese Geräte offengelegt sind und ziemlich verwundbar sind. Die haben dann also einen Pointer für den vollen Domainnamen, der zu einem privaten IPv4-Netzwerk zeigt. Was wir noch gefunden haben, ist Art of Bound Management in verschiedener Art, was man benutzt, wenn alles abrennt. Etwas wirklich schönes von einem großen Operator ist, sind also die Weis, die mit ICMP-V6 erreichbar sind. Dann habe ich mich gefragt, was dann passieren könnte, wenn ich etwas tu, was ich nicht getan habe, aber etwas, was ich mich gefragt habe. Man möchte nicht wirklich IPME auf dem Internet haben. Noch etwas für Leute, die mehr in Netzwerkinfrastruktur sich darin sind. Es gibt also hier diese Backplanes. Außer den offengelegten Backplanes findet man auch eine Menge BGP und eben Telnet SSH auf Backbone-Service im Internet. Noch etwas witziges, was man gerne findet, ist Docker. Ein Teil davon sind die schönen Sachen, die mit Docker machen können, zum Beispiel Elastic Search. Es ist wirklich unglaublich, wer Elastic Search als Service ausführt, ohne Authentifizierung nur per IPv6 erreichbar. Aber mit IPv6 erreichbar. Ich weiß nicht, ob ihr wisst, was diese TCP-Ports für Docker heißen. Dies ist also eine IP, die man schützen muss. Es gibt Informationen in Dokumentationen, wie man das macht mit ordentlicher Authentifizierung. Es gibt Blockposts, wie man die Authentifizierung mit Zertifikaten aufsetzt, mit Engine X, mit Reverse Proxy und solchen Sachen. Aber man kann es natürlich auch einfach dem Internet überlassen, offenlegen. Klar. Naja. Dies ist also nur der Setup für die Möglichkeiten, die man so hat, die ihr nicht haben solltet. Also außer das richtige Tun und Firewalls einzusetzen, kann man auch sowas tun. Man kann es auch mit der Security by Obscurity, man könnte versuchen, die Reverse DNS-Zonen so aufzusetzen, dass es immer noch Data zurückgibt. Also einfach maskieren, verdecken. Ich weiß nicht, ich möchte es nicht angriff nennen, aber es gegen diese Aktion maskieren. Dies war also schon seit 2012 verfügbar, als FunDyke zunächst zum ersten Mal damit gespielt hat. Diese Tools sind nicht anwendbar auf alle DNS-Service, die es draußen gibt, aber das Konzept sollte klar sein. Andererseits sollten wir denken an Technologien, die vielleicht anwendbar sind, obwohl diese spezielle Technik, wie ich gerade vorgestellt habe, es vielleicht nicht ist. Also lassen wir uns schnell zusammenfassen. Am Ende kann man versuchen, Pakete zurückzuweisen, aber man kann nicht die ganze Typologie verstecken. Man sollte nachdenken, bevor man PTA-Einträge aufsetzt. Man sollte darüber nachdenken, ob man das will, bevor man Dinge dem Internet offenlegt. Man kann meine Toolchain über die GitLab-Instanz meiner Forschungsgruppe herunterladen. Und es gibt eine akademische Veröffentlichung im März 2017, die auch diese Technik mehr so vom Punkt des Messens beschreibt. Vielen Dank. Und ich werde gerne irgendwelche Fragen beantworten, die ihr habt. Vielen Dank. Erste Frage geht zum Signal Angel. Hast du tatsächlich darüber nachgedacht, DNS-Zwun-Transfer zu machen, sodass der Service-Infekt rausgibt, falsche Konfigurationen Antwort? Techniken wie das sind in der Veröffentlichung diskutiert, aber wir haben das nicht tatsächlich probiert. Na ja, da ist der GitLink. Nächste Frage, Mikrofon 5. Ich bin ein bisschen zurückgeblieben, ab dem Punkt, wo du gesagt hast, korrigiere mich bitte. Man sollte einen Lokalen den S-Reserver ausführen, um fast schneller was zu bekommen. Und ich frage mich, hast du irgendwelche Asynchrone-IO-Techniken benutzt, um etwas zu bekommen, wie Parallelisierung oder so etwas, anstatt eines Lokalen-Resovers? Vielleicht habe ich aber auch falsch verstanden, was die Lösung, was hier gelöst wurde. Ja, also, einen Lokalen-Reserver laufen zu lassen, auf der Maschine, wo man die Mass-Messung durchwird, hat damit zu tun, dass man nicht den Lokalen-Reserver bei der Forschungsinstitution überladen will, die man benutzt. Dann gibt es viel Ärger, wenn man das tun sollte. All diese Sachen, die passieren, wenn sie auf einmal mit einem Dean Resfiker zu tun haben, der die Query ausführt, die du machst und nicht diejenigen, die jemand anders braucht. Es hilft jetzt nicht so unglaublich mit Geschwindigkeit. Entweder macht man das Reserving selbst oder man verlagert das irgendwo anders hin und wesentlich muss man auf die Antworten warten. Wenn ihr so ein bisschen Latenz habt gegenüber dem Recursor, dann wird der ganze Prozess sich in einen Stau geraten, auf der Lokalmaschine reduziert, man also einen Teil der Latenz reduzieren, aber man kann es vielleicht nicht immer noch besser dann tun, wenn man das Recursing Reserving aus der Toolchain macht, was ich nicht getan habe, weil ich kein guter Programmierer bin. Okay, danke. Die nächste Frage vom Mikrofon um eins. Okay. Hast du tatsächlich berücksichtigt, dass da einiges Server versteckt in diesem Subnetzwerken, die generierte PTA-Records haben? Antwort, ja, da können Service versteckt sein, aber ich kann das nicht verifizieren, ohne den ganzen Tree zu zählen. Ich weiß nicht und ich kann nicht wissen. Okay, nächste Frage, Mikrofon 2. Hi. Aus Erfahrung habe ich gefunden, dass IP46 Reverse Lookups seltener, dünner verteilt sind. Hast du eine Referenz, wie viele Hosts man mit dieser Technik findet, verglichen mit Hosts, die dort sind ohne Reverse Lookup? Antwort, ich würde das wirklich sehr, sehr gerne haben. Also im Wesentlichen, wenn man das Aussagen machen will, wie diese hier, die nach Delo gefragt ist, dann müsste man dieses Datensatz vergleichen mit einem anderen unabhängigen Datensatz, der einen anderen Blick Winkel auf IP46 verwendet, also die zum Beispiel bei dem großen IXP oder einem großen CDN-Netzwerk, solche haben dann einen BIOS für kleinen Service, also wahrscheinlich eher IXP-Datensätze. Im Moment habe ich keinen zurück auf solche Datensätze, deswegen habe ich mir das nicht angeschaut. Mikrofon Nummer 6. Du hast erwähnt, dass die Ergebnisse, die Daten sind öffentlich. Wo sind die? Es ist tatsächlich in der verteilten Art und Weise auf den vielen DNS-Servern abgespeichert. Wir wissen von allen coolen Plattformen, da gibt es einen separaten Download client und es gibt es an diesem GitHub Verzeichnis. Okay, Mikrofon 5. Hallo? Schnell Frage. Die meisten Daten auf den Folien waren irgendwie westliche Daten. So, mehr und so weiter. Generelle Frage. Verforscht ihr auch IPv6? Habt ihr auch asiatische IPv6-Netzwerke, zum Beispiel China, hat massive Benutzung von IPv6 oder hast du Antwort? Nein, also ich habe nicht wirklich einen Fokus gehabt auf spezielle kontinentweise Analyse. Was ich bisher in der akademischen Arbeit präsentiert habe, ist die Technik als solche und ich habe interessante Fallstudien, die zeigen könnten, was das Potenzial dieser Technik ist. Was du vorschlägst, ist tatsächlich interessant für weitere Arbeiten. Also für alle, die interessiert sind, ich würde Hongkong empfehlen als Startpunkt für solche Scans. Danke. Noch irgendwie mehr Fragen. Vielen Dank. Danke auch fürs Zuhören bei der Übersetzung. Gebt uns Feedback, Hashtag C3T, Twitter-Count C3Lingo.