kentoh - Fotolia

Wie sich IPv6-Adressen per DNS Reverse Mapping scannen lassen

Eine der besten Methoden zum Scannen von IPv6-Adressen ist Reverse Mapping. So kann man eine IP-Adresse herausfinden und sie auf eine Domain mappen.

Der durch IPv6 vergrößerte Adressbereich hat nicht nur die Verwendung von heuristischen Analysen befeuert, wenn es um Scans von IPv6-Adressen geht. Er hat auch dazu geführt, dass zunehmend alternative Techniken genutzt werden, wenn es um das Aufspüren von IPv6-Knoten geht. Ein Knoten ist ein System mit einer IPv6-Adresse und einer Schnittstelle, die IPv6 unterstützt. Dieser Artikel beschreibt eine wirkungsvolle Methode, um IPv6-Knoten zu entdecken: Mittels Einsatz von DNS Reverse Mapping.

Beim Scannen nach IPv6-Adressen werden meist Probepakete wie etwa Echo Requests nach ICMPv6 (Internet Control Message Protocol version 6) gesendet. Kommt eine Antwort zurück, dann wurde ein Knoten entdeckt. Nachdem die Standardgröße für ein IPv6-Netzwerk /64 ist, können sich Knoten aber hinter jeder der 265 möglichen Adressen in einem Netzwerk verstecken. Diese hohe Zahl erschwert Brute-Force-Versuche, um IPv6-Adressen herauszufinden.

Forschungen im Bereich des IPv6-Scannings haben jedoch ergeben, dass die Vergabe von IPv6-Adressen bestimmten regelmäßigen Mustern folgt, die den abzusuchenden Bereich reduzieren. Dadurch werden heuristische Methoden ermöglicht.

Nichtsdestotrotz gibt es mehrere Gründe, warum auch alternative Methoden genutzt werden sollten, um nach IPv6-Knoten zu suchen.

Erstens haben manche Betriebssysteme wie Microsoft Windows Algorithmen implementiert, die für zufällig generierte IPv6-Adressen sorgen. Zweitens nutzen Netzwerke, die DHCP v6 (Dynamic Host Configuration Protocol) verwenden, meist bereits DHCP-Server, die Adressen nach keinem offensichtlichen Muster mehr vergeben (also nicht Adressen nach zum Beispiel dem Muster 2001:db8::1, 2001:db8::2 und so weiter). Drittens arbeitet die Internet Engineering Task Force (IETF) bereits an einem formalen Update der aktuellen Spezifikationen. So sollen die bisher genutzten Methoden zum Erstellen von automatisch konfigurierten Adressen durch RFC 7217 ersetzt werden. Danach soll es zu keinen Mustern bei den generierten Adressen mehr kommen. Das bedeutet, dass Techniken benötigt werden, die die bislang genutzten Methoden zum Suchen nach Adressen wie Ping Sweeps ersetzen beziehungsweise ergänzen.

Eine der mächtigsten dieser Techniken setzt auf einer häufig missverstandenen oder übersehenen Funktion des Domain Name Systems (DNS) auf: dem Reverse Mapping. Im Folgenden erfahren Sie, wie DNS Reverse Mapping funktioniert und wie diese Funktion genutzt werden kann, um Scans nach IPv6-Adressen durchzuführen.

DNS Reverse Adress Mappings

Die meisten Netzwerk- und Security-Profis kennen sich gut aus mit dem DNS-System und seinen wichtigsten Funktionen und wissen, wie sich damit Domain-Namen wie www.beispiel.de auf eine IP-Adresse mappen lassen.

In manchen Szenarien ist es aber sinnvoll, genau das Gegenteil zu machen: Eine IP-Adresse herauszufinden und sie dann auf eine Domain zu mappen. Das ist etwa dann nützlich, wenn man mithilfe von Traceroute den Weg zu einem bestimmten Ziel nachverfolgen will. Die IP-Adressen auf der Route werden dabei in für Menschen leichter zu verstehende Domain-Namen umgewandelt. Die Fähigkeit des Traceroute-Tools, eine Liste mit Domain-Namen auszugeben, basiert auf DNS Reverse Mapping.

Das Reverse Mapping von IPv4-Adressen zu Domain-Namen wird in der Regel über eine spezielle DNS-Zone abgewickelt: in-addr.arpa. Domain-Namen in dieser Zone folgen dem Muster x.x.x.x.in-addr.arpa. Jedes x entspricht dabei einer Zahl zwischen 0 und 256. Alle vier x zusammen ergeben die IPv4-Adresse in umgekehrter Reihenfolge.

Domain-Namen in der in-addr.arpa-Zone haben PTR-Einträge, die den zu der jeweiligen IPv4-Adresse zugehörigen Domain-Namen enthalten. Um also den Domain-Namen zu der IPv4-Adresse 192.0.2.1 zu bekommen, wirft man einen Blick in den PTR-Eintrag für die Domain 1.2.0.192.in-addr.arpa. Dieser könnte beispielsweise den Domain-Namen www.beispiel.de enthalten.

Wichtig ist dabei allerdings noch der Punkt, dass das Mapping einer IP-Adresse zu einer Domain komplett unabhängig von dem umgekehrten Weg ist, also dem Mapping einer Domain zu einer IP-Adresse. In ersterem Fall wird der PTR-Eintrag für die Domain 1.2.0.192.in-addr.arpa benötigt (und die Kontrolle über die Zone in-addr.arpa), während im zweiten Fall ein A-Eintrag für den Domain-Namen www.beispiel.de benötigt wird (und die Kontrolle über die Domain beispiel.de).

Wenn eine Organisation die Kontrolle über einen IP-Adressen-Block bekommt, erhält sie normalerweise auch die Kontrolle über die zugehörige in-addr.arpa-Zone. Das bedeutet, dass eine Organisation, die die Kontrolle über 192.0.2.0/24 erhält, meist auch die Kontrolle über die Zone 2.0.192.in-addr.arpa hat. Auf diese Weise kann sie für ein angemessenes Reverse Mapping sorgen.

Das Reverse Mapping von IPv6-Adressen entspricht weitgehend dem Vorgehen bei IPv4. Der wichtigste Unterschied ist die verwendete DNS-Zone. Sie lautet ip6.arpa. Wie bei dem IPv4-Gegenstück enthält diese Zone IPv6-Adressen, die rückwärts aufgelistet werden. Um beispielsweise den Domain-Namen für die IPv6-Adresse 2001:db8::1 zu bekommen, benötigt man den PTR-Eintrag für die Domain 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. Jeder hexadezimale Eintrag der IPv6-Adresse entspricht dabei einem Teil des korrespondierenden ip6.arpa-Domain-Namens.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Wie Sie Ihr IPv6-Address-Management schützen

TCP-Port-Scanning: Das sollten Sie über die unterschiedlichen Techniken wissen

Domain Name System: Hintertür für Hacker

Was Sie über DNS (Domain Name System) wissen müssen

Artikel wurde zuletzt im April 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Protokolle

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close