Polución en el rango 1.0.0.0/8

Ayer publicaron en RIPE labs un interesante artículo sobre el tráfico en el rango 1.0.0.0/8 y concretamente los 1.1.1.0/24 y 1.2.3.0/24. Muchas veces se utilizan estas IPs como ejemplos o para configuraciones por defecto.

El artículo de RIPE labs es el siguiente: Pollution in 1/8. Recomiendo su lectura, pero a continuación voy a hacer un resumen de lo que me ha parecido más destacado.

El rango 1.0.0.0/8 estaba reservado por la IANA desde 1981, y típicamente se ha usado para configuraciones de ejemplo (típico 1.1.1.1 o 1.2.3.4). En este blog, por ejemplo, aparece el 1.2.3.4 en el artículo sobre el rp_filter o en el Allow de la configuración del server-status, por citar dos ejemplos.

En 2008 pasó de ser un rango “reservado” a uno “sin asignar” y este enero de 2010 se asignó a APNIC:

inetnum:      1.0.0.0 - 1.255.255.255
netname:      APNIC-AP
descr:        Asia Pacific Network Information Center, Pty. Ltd.
descr:        Regional Internet Registry for the Asia-Pacific Region
descr:        Level 1 - 33 Park Road.
descr:        PO Box 2131
descr:        Milton QLD 4064
descr:        Australia
country:      AU
admin-c:      HM20-AP
tech-c:       NO4-AP

Normalmente se filtran los rangos no asignados (”bogon filtering“) por lo que al asignar un nuevo rango se deben “debogonizar“. Para ello empezaron a anunciar desde uno de sus RIS Remote Route Collectors los siguientes prefijos:

• 1.255.0.0/16
• 1.50.0.0/22
• 1.2.3.0/24
• 1.1.1.0/24

Al anunciar el rango 1.1.1.0/24 vieron como sus peers intentaban mandar más de 50MBits por segundo, de los cuales solo pudieron recoger 10MBits/s por el puerto.

Recogieron 100.000 paquetes cada 30 minutos y analizaron el tráfico. Los resultados son los siguientes:

Alrededor de un 75% del tráfico era UDP. El gráfico publicado por RIPE labs es:

Por protocolo (fuente: labs.ripe.net)

Con una distribución de las siguientes IPs destino:

• 1.1.1.1: 89.8%
• 1.1.1.2: 1.2%
• 1.1.1.3: 1.2%
• 1.1.1.4: 9.5%
• 1.2.3.4: 3.3%
• El resto: 3.9%

El gráfico publicado por RIPE labs es:

Porcentaje de IPs destino (fuente: labs.ripe.net)

Por lo que refiere a UDP, la mayoría del tráfico (59.1%) es hacia el puerto 15206 pero no esta claro su origen. A continuación le siguen los puertos 2427 y 2727 con un 29.9% seguramente por equipos VoIP mal configurados.

Por lo que respeta al TCP un 48.7% representan intentos de conexión al puerto 80 (HTTP) y una pequeña parte (1.1%) conexiones establecidas.

El gráfico que presentan en RIPE labs es el siguiente:

Comparativa UDP y TCP (fuente labs.ripe.net)

Se puede concluir que los rangos 1.1.1.0/24 y 1.2.3.0/24 reciben mucho tráfico inútil, por lo que puede ser que nunca se puedan llegar a usar.

Relacionados

• No hay posts relacionados.