通过DNSSEC签名的反向区域枚举应用于大型安全扫描的活动IPv6主机

作者： {Doris}@ArkTeam

原文作者： Kevin Borgolte , Shuang Hao , Tobias Fiebig , Giovanni Vigna

原文题目： Enumerating Active IPv6 Hosts for Large-scale Security Scans via DNSSEC-signed Reverse Zones

原文来源： IEEE Computer Society

近年来出现了大量不同程度的互联网安全挑战。互联网上的IPv4安全扫描已经成为现代安全研究的一个组成部分。

然而，IPv4地址的总数是有限的。对于这些地址中的许多，它们的使用通过特殊使用安排进一步受到限制，IPv4地址耗尽问题的公认的长期解决方案被认为是Internet协议版本6(IPv6)。与IPv4的32位宽地址相反，IPv6使用128位宽地址（7.9×1028是IPv4的两倍），采用IPv6将消除对可预见的将来进一步的地址资源的需求。不幸的是，IPv6的巨大地址空间威胁着从安全公共性中获取互联网广泛扫描的重要工具。在Internet上进行IPv6安全扫描仍然很困难，这就留下了一个危险的盲点。

为了解决这个问题，研究人员开始提出各种技术进行互联网IPv6安全扫描，利用IPv6的种子集扫描IPv6主机。为了保持安全研究人员进行Internet范围扫描的能力，本文介绍了一种新的IPv6地址枚举技术，它利用了DNSSEC签名的IPv6反向区域。

（1）本文方法建立在DNSSEC范围内的等效的基础上。在简化的模式（图1）中，客户机与命名服务器对话以询问特定资源记录（RR）类型的特定名称是否存在于区域内。如果记录确实存在，则命名服务器用相应的答案（例如，incaseofanAre.，用IPv4地址映射名称）进行响应。如果记录不存在，命名空间会生成NX域响应（NX表示”不存在”）。

图1：一个客户机查询一个无名称服务器和DNSSEC之间的DNS交互示例。

（2）从概念上讲，反向区域类似于任何其他标准DNS区域，但它们有特定的含义：它们用于将地址或资源（如IPv4或IPv6地址）映射到名称，而不是反过来。对于IPv6，指定的反向区域是ip6.arpa，并且以相反的顺序在nibble（nibble是单个十六进制数字）边界上分层组织。清单1描述了2001:db8::/32的示例反转区域，

清单1：示例IPv6反向区2001：d8:：/ 32。

本文展示了本文方法枚举出的现有技术遗漏的活动IPv6地址的类，并且之前的工作没有评估。此外，本文技术并不依赖于任何特定于实现的行为，因为已有技术规范用于防止先前工作的枚举技术。相反，为了防止本文提出的的枚举技术，需要对DNSSEC标准进行重大更改。

在本文的评估中发现了IPv6连接的主机暴露出各种关键的安全问题：暴露的文件共享、对内部和外部路由协议的访问、对交换机和路由器的远程访问、远程监控、可以利用来启动反射和放大的主机服务攻击，以及令人惊恐的远程系统管理端口易受允许全机接管的攻击（例如，通过远程键盘和视频提供实际物理访问的IPMI）。