Forscher rätseln: Wer hat sich IPv4-Adressen erschummelt und wofür?

Der Forschungszweig der europäischen Adressvergabestelle RIPE hat festgestellt, dass ein großer Brocken von reservierten IPv4-Adressen heimlich genutzt wird.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 617 Beiträge

(Bild: asharkyu/Shutterstock.com)

Von
  • Dusan Zivadinovic

(This article is also available in english)

Qasim Lone, Mitarbeiter der RIPE Labs, zeigt in einer bisher von der Öffentlichkeit weitgehend unbeachteten Analyse, dass ein eigentlich seit Jahrzehnten reservierter IPv4-Adressbereich heimlich von einem oder mehreren Unternehmen für deren eigene Zwecke verwendet wird.

Das klingt brisant, weil unsolidarisch: IPv4-Adressen sind seit vielen Jahren ein knappes Gut und es gibt seit langer Zeit Überlegungen, reservierte Bereiche für den öffentlichen Betrieb freizugeben. Aber wenn sie bereits heimlich in privaten Netzen in Verwendung sind, kann man sie nicht ohne Weiteres zu öffentlichen IPv4-Adressen umwidmen, weil das Routing von und zu solchen IPv4-Adressen nicht eindeutig wäre.

Konkret geht es um den Bereich von 240.0.0.0 bis 255.255.255.255, kurz 240/4 (ehemals Class E genannt). Diesen Block, der rund 268 Millionen Adressen umfasst (genau 268.435.456 Adressen), hat die Internet Engineering Task Force noch 1986 "für künftige Zwecke" reserviert, sodass er weder verwendet noch geroutet werden darf. Lone führt in seinem Beitrag zwei Initiativen auf, die sich dafür eingesetzt haben, diesen Block doch noch zu verwerten. Beide nennen konkrete Vorschläge zur Umwidmung, wurden aber nicht definitiv spezifiziert.

Denn es gibt auch Fachleute, die sich dagegen wenden. Die Nachfrage nach IPv4-Addressen sei derart hoch, dass selbst hunderte Millionen neuer Adressen schnell aufgebraucht sein dürften. Besser sei es daher, wenn sich die Institutionen und Firmen, die an IPv4-Knappheit leiden, auf die Einführung der IPv6-Technik konzentrieren, zumal diese einen ganzen Batzen von typischen IPv4-Unzulänglichkeiten gar nicht erst hat.

Kritiker wenden auch ein, dass es nicht genügt, von der Kanzel zu verkünden, dass 240/4 benutzt werden darf. Zusätzlich müssten weltweit möglichst alle Betriebssysteme und Router angepasst werden, weil sie den Bereich bisher normalerweise ausklammern. Manche schätzen den dafür erforderlichen Aufwand so hoch ein, dass er sich nicht lohnt. Andererseits geben Mitarbeiter des auf GitHub geführten Projekts Unicast-Extensions an (The IPv4 Cleanup Project), dass sie längst funktionierende Patches für diverse Betriebssysteme erzeugt haben, darunter für Linux, FreeBSD und macOS.

So hängt die Entscheidung über die Verwertung dieses Adressblocks in der Luft. Weil aber unter Fachleuten bekannt ist, dass sich an die Richtlinien der IETF nicht immer alle Internet-Teilnehmer halten, und manche ausgeklammerten Adressbereiche bereits in der Vergangenheit inoffiziell genutzt wurden, untersuchte das RIPE Lab, ob das auch bei 240/4 der Fall ist. Heraus kam, dass der Block tatsächlich in privaten Netzen in Gebrauch ist, aber eben ohne eine erforderliche Koordinierung mit der globalen Internet-Community.

Solche Nutzung lässt sich auf verschiedene Weise auch außerhalb der Netze detektieren, in denen sie stillschweigend verwendet werden. Beispielsweise können sie in Traceroute-Messungen als unerwarteter Teil eines Pfads zwischen zwei öffentlichen Adressen auftauchen, in der DNS-Kommunikation, die ins öffentliche Internet gelangt oder etwa auch in kompletten oder teilweisen Verbindungen zwischen öffentlichen und privaten Netzwerken aufgrund von unzureichenden Filtern mancher Router. Das RIPE hat jedoch mit seinen Atlas-Sonden noch zusätzliche Messmethoden innerhalb vieler Netzwerke.

Qasim Lone führt in seinem Beitrag detailliert aus, wie er die Sonden verwendet hat und von welchen Netzwerken der inoffizielle Gebrauch laut seinen Messungen ausgeht. Einiges deutet auf Adobe, Amazon und Verizon Business hin.

Definitive Beweise stünden zwar aus. Aber es sei gut möglich, dass "extrem große Cloud-Provider" den dafür regulär nutzbaren Adressvorrat schon vor einer Weile aufgebraucht haben (Address Allocation for Private Internets, RFC 1918, rund 18 Millionen private IPv4-Adressen). Man geht also davon aus, dass die größten Cloud-Provider mehr Server und VMs an Kunden vermietet haben als sie intern über reguläre private IPv4-Adressen ansprechen können, sodass sie sich heimlich mit dem 240/4er Adressraum behelfen.

Das deckt sich gut mit dem Bild, dass Amazon vor Jahren viele Unicast-IPv4-Adressblöcke erstanden hat und beständig weitere auf dem freien Markt kauft. Bis 2020 habe AWS knapp über 100 Millionen IPv4-Adressen gesammelt (100.750.168).

Siehe dazu auch:

Qasim Lone, 240/4 As Seen by RIPE Atlas

Mehr von c't Magazin Mehr von c't Magazin

(dz)