Universität Duisburg-Essen
Verteilte Systeme
Analyse und Klassifikation von Blackhole-Internetverkehr
Prüfer Prof. Dr.-Ing. Torben Weis
Betreuer Dipl.-Inform. Matthäus Wander
Bearbeiter Patrick Schumacher
Abgabe September 2013

Im Lehrstuhlnetz sind zur Zeit etwa 90 öffentliche IPv4-Adressen keinem Host zugeordnet. Auf diesen IP-Adressen ist daher kein regulärer Internetverkehr zu erwarten. Tatsächlich geht mehrmals pro Minute ein IPv4-Paket ein. Eine Ursache hierfür sind großflächige Portscans, entweder um allgemeine Statistiken zu erfassen oder verwundbare Services zu finden. Eine andere mögliche Ursache ist Backscatter, d. h. Rückstreuung von IP-Traffic, wenn unsere IP-Adressen bei IP-Spoofing als Quelladresse verwenden wurden. Ursachen hierfür sind DDoS-Angriffe oder ggf. auch spezielle Scanmethoden.

Der Lehrstuhl Verteilte Systeme zeichnet den Internetverkehr auf, der an diese 90 IPv4-Adressen gesendet wird. Es werden keine Antworten gesendet, insbesondere kein ICMP Destination Unreachable oder TCP RST. Um allerdings auch TCP-Payload aufzuzeichnen, werden auf allen Ports bei einem eingehenden TCP-Handshake entsprechende SYN/ACK-Antworten gesendet. Das Ziel dieser Abschlussarbeit ist die Analyse und Klassifikation des aufgezeichneten Internetverkehrs.

Der oder die Studierende erhält hierzu Zugang zu pcap-Dateien aus einem Zeitraum von mehreren Wochen. Zu den Aufgaben gehört:

  • Wahl einer geeigneten Programmiersprache und Software-Lib zum Parsen von IPv4-Paketen
  • Zusammensetzen von fragmentierten IP-Paketen und TCP-Verbindungen
  • Literaturrecherche nach bisherigen großflächigen Blackhole-Analysen und über den aktuellen Stand der Forschung über das IP-Grundrauschen im Internet
  • Klassifikation der IP-Pakete und Paketströme in bekannte Muster aus der Literatur
  • Statistische Auswertung des erfassten und klassifizierten Internetverkehrs

Von Master-Studierenden wird eine Untersuchung der unbekannten Paketströme nach weiteren, noch nicht klassifizierten Arten von Blackhole-Internetverkehr erwartet. Des Weiteren wird auch eine Betrachtung von IPv6-Internetverkehr erwartet, im Einzelnen:

  • Aufzeichnung von IPv6 Blackhole-Internetverkehr an einem öffentlichen /64-Netz des Lehrstuhls
  • Aufzeichnung von IPv6 Blackhole-Interneverkehr an getunnelten Netzen, etwa über 6to4, 6rd oder einem Aggregat bei HE oder SixXs
  • Literaturrecherche nach gängigen und praktikablen IPv6-Scanmethoden, zum Beispiel über typische Adress-Suffixe (xy::1 etc.) oder DNS Zone Walking unterhalb von ip6.arpa.
  • Honeypotting von IPv6-Scannern entsprechend der gängigen IPv6-Scanpraktiken

Erforderlich sind Programmierkenntnisse sowie Kenntnisse über IPv4, IPv6, pcap, TCP, UDP und HTTP. Hilfreich sind Grundkenntnisse über Ethernet, ARP, SIP, SSH, BitTorrent und RDP.

Literatur:
 

© Universität Duisburg-Essen, Verteilte Systeme - Kontakt: webmaster@vs.uni-due.de

Impressum - Datenschutz