Multi-Port Network Scanning Framework for IPv6 Security Measurement

広大なIPv6アドレス空間で，ShodanやCensysのようなセキュリティ調査を行うための基盤技術として，アクティブなアドレスを多様なポートで効率的に発見するスキャンフレームワークを提案する．インターネット全体をスキャン可能なIPv4とは異なり，IPv6では存在が確認されているIPv6アドレス（ヒットリスト）を用いて，リソース制約の下でスキャン対象を絞り込む．代表的な公開ヒットリストでは，Webのようなごく一部のポートのみの稼働が確認されたアドレスをシードとして利用する．脆弱機器を狙った攻撃は様々なアプリケーションで展開されているが，そのようなシードを用いたスキャンによって調査できるアプリケーションは限定的となる．一方で，多様なポートでシードを収集するためにヒットリストに対してポートスキャンを実施すると，ポート数に比例してコストが増大してしまう．我々の主要なアイデアは，利用傾向が類似するポート間で同じシードを共有してシード収集のコストを抑え，効率的にスキャン可能なポートにより多くのスキャンリソースを割り当てることである．17種類のポートを対象にした実験において，本フレームワークを利用することでアクティブなアドレスの発見数が，7割以上のポートで向上することを確認した．さらに，約 1.1M のアドレス/ポートの組合せについてIPv6のセキュリティ調査を行い，将来のIPv6ネットワーク運用のとるべき方向性について提言する．

We propose a scanning framework that efficiently discovers active addresses on various ports for security measurement, like Shodan and Censys, in the vast IPv6 address space. In IPv6, researchers use known IPv6 addresses (hitlist) to narrow the scan targets under resource constraints, unlike IPv4, which can conduct internet-wide scanning. In the typical public hitlist, researchers use the addresses confirmed active on only a few ports, such as the Web, as a seed. While attackers target vulnerable devices in various applications, the number of applications that can be scanned using such a seed is limited. On the other hand, if we scan the multiple ports on the hitlist to collect seeds, the cost will increase in proportion to the number of ports. Our main idea is to reduce the cost of seed collection by sharing seeds among similar ports and to prioritize efficiently scannable ports. Evaluation using 17 kinds of ports showed that our framework could improve the number of active addresses discovered for more than 70% of the ports. We suggest a direction for IPv6 network operation should take in the future based on the large-scale study for 1.1M address/port.