Exploring network Telescopes in the age of IPv4 exhaustion

Abstract

Cyber threat intelligence relies on network telescopes for detecting attack, and emerg ing threats, traditionally utilizing a substantial portion of the IPv4 address space. How ever, the escalating scarcity and value of this resource force universities and companies to grapple with the challenge of re-purposing their address spaces, potentially impacting cybersecurity effectiveness and hindering research efforts. In this thesis we investigate the historical usage of IPv4 addressing space in network telescopes and explores the impact of reducing this space on their ability to identify attackers and collect valuable research data. We do explore two network telescopes with the intention to assess the number of unique sources a reduced version is able to capture and to find out if there are IPs that are preferred over others. Our findings reveal that even halving the allocated space for a network telescope may still permits the detection of 80% of unique cyber attack sources, and the address allocation schema have little to none influence in this detection.

A inteligência de ameaças cibernéticas depende de "network telescopes"para detectar ata ques e ameaças emergentes, tradicionalmente utilizando uma parte substancial do espaço de endereçamento IPv4. No entanto, a crescente escassez e valor desse recurso obrigam universidades e empresas a lidar com o desafio de redirecionar seu espaço de endere çamento, potencialmente impactando a eficácia em sua cibersegurança e prejudicando pesquisas. Nesse trabalho de conclusão, investigamos o uso histórico do espaço de ende reçamento IPv4 em "network telescopes"e exploramos o impacto da redução desse espaço em sua capacidade de identificar atacantes e coletar dados. Nós exploramos dois network telescopes com a intenção de verificar o número de origens únicas que uma versão reduzia consegue capturar e descobrir se há IPs que são preferíveis do que outros. Nossas des cobertas revelam que mesmo reduzindo pela metade o espaço alocado para um "network telescope", ainda é possível detectar 80% das fontes únicas de ataques cibernéticos, e o esquema de alocação de endereços tem baixa influência nessa detecção.