Domaintools: il nuovo report mostra i dati aggregati sul conteggio di tutti gli indirizzi IPv4 su Internet

La curiosità su Internet è nel nostro DNA. La missione di DomainTools è “Mappare Internet per rilevare e prevedere minacce emergenti”.

Farsight Security, ora parte di DomainTools, ha precedentemente riportato sia sui nomi di dominio che sugli indirizzi IP visti in Farsight DNSDB. Tuttavia, lo studio più recente sugli indirizzi IPv4 (risalente al lontano 2017) ha esaminato solo la copertura/visibilità, non l’utilizzo/volume.

Molte cose sono cambiate da allora, compresa l’espansione della nostra rete di sensori e l’esaurimento efficace delle piscine di indirizzi IPv4 disponibili presso ARIN, RIPE NCC, APNIC e gli altri registri regionali. Alla luce di questi cambiamenti, cosa vediamo per l’utilizzo dello spazio degli indirizzi IPv4 assegnato/allocato agli utenti di Internet nel mondo?

Qui, aggiorniamo ed estendiamo lo studio precedente per concentrarci sui conteggi aggregati di cache miss osservati per ciascun netblock /24 per l’intero spazio degli indirizzi IPv4 di Internet (vedi grafico sopra). Quell’immagine rappresenta i totali per oltre 16,7 milioni di query di riepilogo /24 di dnsdbq, limitate a un periodo di 90 giorni. Le aree con i conteggi di osservazioni più elevati sono colorate in “giallo caldo”, mentre le aree con conteggi di osservazioni più bassi sono in “viola freddo”.

Alcuni netblock /24 presentano conteggi aggregati insolitamente elevati, compresi conteggi di cache miss aggregati superiori a 175 miliardi. Approfondiamo alcuni di questi “pesi massimi”, riportando sui domini che sembrano contribuire maggiormente a quei grandi conteggi di cache miss.

All’altro estremo dello “spettro di conteggio aggregato di cache miss”, scopriamo che oltre il 75% di tutti i netblock /24 ha conteggi aggregati di cache miss di 100 o meno.

Sono forniti diagrammi a violino e curve di Hilbert individuali per ciascun IPv4 /8 per coloro che desiderano approfondire ulteriormente.

Diagrammi a violino per l’intervallo di indirizzi IP da 80.0.0.0/8 a 89.0.0.0/8, mostrando la distribuzione dei conteggi osservati in ciascun /8.
(Un punteggio di 2 sull’asse verticale rappresenta 10^2 o 100, mentre un 9 sull’asse verticale rappresenta un conteggio di 10^9 o 1.000.000.000).

La curva di Hilbert nella parte superiore di questo pezzo mostrava la Curva di Hilbert per l’intero Internet IPv4. Questa curva “approfondisce” o “ingrandisce” la curva di Hilbert solo per 88.0.0.0/8, un /8 rappresentativo.

Questo report introduce e dimostra il valore delle migliorie alla segnalazione dei metadati di query nel client DNSDB a riga di comando dell’azienda, dnsdbq, quando dnsdbq viene utilizzato per query bulk di questo tipo.

Per evitare equivoci, questo rapporto NON afferma di descrivere lo spazio degli indirizzi IPv4 “più popolare”: i conteggi di cache miss sono fortemente influenzati da fattori come i valori TTL e la memorizzazione nella cache; allo stesso modo, non descrive nemmeno lo spazio degli indirizzi IPv4 “non utilizzato” o “incolto”: solo perché non abbiamo visto traffico per un CIDR non significa che quegli IP non siano in uso. Questo rapporto non divulga neanche dove raccogliamo DNS passivi o le query che i clienti potrebbero avere effettuato contro DNSDB. Mostra semplicemente dove DNSDB ha visto risolvere i record “A” e il volume di tali query di cache miss.

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI