Las últimas direcciones IPv4 podrían ser "peligrosas"

Los pocos bloques de direcciones de Internet que aún deben ser asignadas bajo el viejo protocolo IPv4 parece que se han convertido en “puntos calientes” de tráfico no deseado. Es lo que se ha afirmado durante la conferencia North American Network Operators Group.

Nadie puede instalar un servidor web en una dirección IP que no haya sido asignado, pero cualquiera puede escribir código que señale a la dirección sin utilizar. Esta actividad no esperada encontrada en estos “espacios oscuros” podría provenir de toda una variedad de fuentes, tanto de ataques de Internet como de código benigno que esté probando una aplicación o un PC.

Aunque el tráfico no representa una amenaza de seguridad por sí mismo, una empresa que adquiriera la dirección afectada a un ISP podría tener que pagar por la transmisión de los paquetes irrelevantes. Así lo ha explicado Manish Karir, investigador de Merit Network, un centro de investigación de Internet de Michigan, Estados Unidos.

IPv4 sólo tiene capacidad para unos 4.300 millones de direcciones, y se espera que esa cantidad llegue a su fin en los próximos dos años. Si algunas de las direcciones que aún quedan por ser asignadas estuviera contaminada por tráfico no deseado, podría provocar que el problema fuera aún más grave y urgente para las empresas que quieren hacerse con direcciones IPv4 nuevas y a punto para su uso.

Las direcciones IP son asignadas por administradores de Internet regionales, normalmente a ISP que luego asignan bloques más pequeños de las mismas a clientes empresariales. Solo un pequeño número de bloques de direcciones IPv4 siguen esperando a ser asignadas. Karir y un grupo de otros investigadores intentaron averiguar si las direcciones se encuentran al fondo del tubo virtual son tan válidas como las que ya han sido asignadas. “Se está produciendo una creciente preocupación sobre si estas direcciones son menos válidas. Los asuntos que se plantean tienen que ver con los tipos de tráfico que han podido ser bloqueados o movidos de los bloques ya asignados y operativos a estos que aún no tienen dueño”.

Por ello, el equipo de Karir se unió a la APNIC, esto es, el registro de Internet de la región Asia-Pacífico, para probar un bloque, denominado 1.0.0.0/8, porque se sabía que había sido utilizado en ejemplos y pruebas en los últimos años. Al capturar paquetes durante un período de cerca de 10 días, descubrieron una gran cantidad de tráfico. 

En el bloque completo 1.0.0.0/8, había una media de tráfico de 170Mbps y de 150 paquetes por segundo. Parte de este tráfico tuvo lugar en una subnet denominada 1.1.1.0, que suele utilizarse para probar configuraciones de equipos y routers. Pero los investigadores se vieron sorprendidos por una gran cantidad de tráfico en otra subred, que representaba cerca del 35 por ciento del tráfico de este bloque completo. Así las cosas, utilizaron el analizador de protocolos Wireshark para reconstruirlo. El tráfico estaba formado básicamente por mensajes de audio que avisaban de que habían marcado un número incorrecto. Es decir, del tipo “Si quiere hacer una llamada, por favor, compruebe el número e inténtelo de nuevo”

Los investigadores creen que estas señales son un efecto colateral de problemas con SIP (Session Initiation Protocol), una tecnología utilizada habitualmente para voz sobre IP y otro tipo de comunicaciones basadas en paquetes. Las señales podrían haber aparecido en este espacio por la desconfiguración de servidores SIP o por ataques de “SIP invite”, en los que un sistema es inundado con invitaciones para que se una a una sesión SIP. Otra fuente de paquetes, más del 17 por ciento del total, fue redirigida hasta allí por usuarios que teclearon direcciones DNS erróneamente. Así las cosas, APNIC decidió bloquear las peores redes del bloque 1.0.0.0/8 y al reducir los 10 peores puntos de entrada, el tráfico no deseado cayó significativamente.

En cualquier caso, los investigadores encontraron pruebas evidentes de tipos de contaminación similar en otros bloques de direcciones sin asignar muy difíciles de averiguar de dónde provienen, pues “cada espacio oscuro es diferente, puesto que este tipo de focos existen en lugares extraños e inusuales”. Para evitar todo esto en la medida de lo posible, aconsejó a los administradores de red que se vean afectados por este tipo de bloques contaminados que hablen con sus ISP para intercambiarlos.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper