在黑暗中发光：在野外发现IPv6地址发现和扫描策略

在这项工作中，我们确定了互联网上IPv6扫描仪的扫描策略。我们通过利用一个未使用的大型/56 IPv6子网进行受控实验，对IPv6扫描仪的行为提供了独特的视角。我们通过托管与互联网上支持IPv6的服务器直接或间接接触的应用程序，选择性地使子网的某些部分对扫描仪可见。通过仔细的实验设计，我们减轻了隐藏变量对发送到我们/56子网的扫描的影响，并在IPv6主机活动类型和它们引起的扫描注意之间建立了因果关系。我们表明，IPv6主机活动（例如Web浏览、NTP池和Tor网络中的成员身份）导致扫描仪向我们的子网发送大量未经请求的IP扫描和反向DNS查询。DNS扫描仪将扫描集中在我们的应用程序所在的地址空间的狭窄区域，而IP扫描仪则广泛扫描整个子网。即使在子网中的主机活动停止后，我们仍然可以观察到对以前托管应用程序的地址空间部分的持久剩余扫描。