Unitymedia Aktuell: TR-069 Hack eine Gefahr bei UM-Geräten?

[2young2die]

Hallo Zusammen!

Wir haben hier bei uns schelchte DSL Versorgung. Daher haben viele einen Unitymedia-Anschluss. Ich selbst bin sehrTechnik versiert und habe natürlich auch die Geschichte mit den Speedports verfolgt.
Quintessenz ist ja, das über die Management Ports des TR-069 Prtokolls auf den Routern böse Sachen installiert werden sollten. Ein Firewallauszug aus einer Firewall eines Telekom Anschlusses zeigt immerhin einen Haufen Agriffe auf Port 8089 und 7547. Also sind auch Fritzboxen im Focus der bad guys. Ich denke, die Angriffe leifen sicher nicht nur in den IP-Netzen der Telekom.

Die Speedports waren mit den Befehlen wohl überfordert und sich abgestürtzt - daher das Chaos. Aber rein technisch ja eigentlich gut, denn die Router wurden nicht gekapert.
Nun gibt es ja aber noch 2 weitere Szenarien:
a) der Router ist nicht angreifbar und verwirft schlechte Pakete auf diesen Ports einfach ohne Abstürze - alles OK
b) der Router IST angreifbar und das auch so, wie der Hacker sich das vorstellt und durch den Exploit nun Teil des Botnetzes. Er stürtzt aber auch nicht ab, da der Angriff funktioniert hat.
-> Was ist mit den Fällen aus b?
Weiß jemand, welche Geräte überhaupt auf diesen Angriff reagieren ? Ich denke da zB an Bekannte, die schon lange bei UM sind und ein Cisco Modem und noch einen alten D-Link Router am laufen haben (alles UM Hardware, war halt früher so). Das könnte ja dann schon ein Problem sein? Oder auch andere eigene Router, die hinter einem Cisco- oder Motorola-Modem laufen - hier kann ja der Kunde immerhin anschliessen was er will. DLink ist zumindest überall genannt, wenn es um TR-069 Angriffe geht. Und die normale hausfrau hat sicher noch nie nach einem Firmwareupdate für diese Geräte geschaut.

Laut AVM sind Fritzboxenhierfür wohl nicht anfällig - kann das jemand bestätigen? Ich habe mal bei meiner eigenen 6460 cable TR-069 ausgemacht - sicher ist sicher, und konfiguriert wird da bei mir eh nix, da Eigengerät. Laut Portscan war der 8089 bei mir offen :nein:
Aber es gibt ja die "ZwangsFritten" bei denen das nicht abschaltbar ist. Und es gibt ja noch die guten TC7200 und viele andere.

Ich finde auch komisch, das die Fälle aus b garnicht in den Medien thematisiert werden?

 

[Gizeh775]

Hallo Zusammen!

Wir haben hier bei uns schelchte DSL Versorgung. Daher haben viele einen Unitymedia-Anschluss. Ich selbst bin sehrTechnik versiert und habe natürlich auch die Geschichte mit den Speedports verfolgt.
Quintessenz ist ja, das über die Management Ports des TR-069 Prtokolls auf den Routern böse Sachen installiert werden sollten. Ein Firewallauszug aus einer Firewall eines Telekom Anschlusses zeigt immerhin einen Haufen Agriffe auf Port 8089 und 7547. Also sind auch Fritzboxen im Focus der bad guys. Ich denke, die Angriffe leifen sicher nicht nur in den IP-Netzen der Telekom.

Die Speedports waren mit den Befehlen wohl überfordert und sich abgestürtzt - daher das Chaos. Aber rein technisch ja eigentlich gut, denn die Router wurden nicht gekapert.
Nun gibt es ja aber noch 2 weitere Szenarien:
a) der Router ist nicht angreifbar und verwirft schlechte Pakete auf diesen Ports einfach ohne Abstürze - alles OK
b) der Router IST angreifbar und das auch so, wie der Hacker sich das vorstellt und durch den Exploit nun Teil des Botnetzes. Er stürtzt aber auch nicht ab, da der Angriff funktioniert hat.
-> Was ist mit den Fällen aus b?
Weiß jemand, welche Geräte überhaupt auf diesen Angriff reagieren ? Ich denke da zB an Bekannte, die schon lange bei UM sind und ein Cisco Modem und noch einen alten D-Link Router am laufen haben (alles UM Hardware, war halt früher so). Das könnte ja dann schon ein Problem sein? Oder auch andere eigene Router, die hinter einem Cisco- oder Motorola-Modem laufen - hier kann ja der Kunde immerhin anschliessen was er will. DLink ist zumindest überall genannt, wenn es um TR-069 Angriffe geht. Und die normale hausfrau hat sicher noch nie nach einem Firmwareupdate für diese Geräte geschaut.

Laut AVM sind Fritzboxenhierfür wohl nicht anfällig - kann das jemand bestätigen? Ich habe mal bei meiner eigenen 6460 cable TR-069 ausgemacht - sicher ist sicher, und konfiguriert wird da bei mir eh nix, da Eigengerät. Laut Portscan war der 8089 bei mir offen :nein:
Aber es gibt ja die "ZwangsFritten" bei denen das nicht abschaltbar ist. Und es gibt ja noch die guten TC7200 und viele andere.

Ich finde auch komisch, das die Fälle aus b garnicht in den Medien thematisiert werden?

Also erstmal kann sich UM selbst bei deiner eigenen FritzBox bei "Wunsch" den TR-069 öffnen von außen. Das sieht Docsis so vor und hat auch seine Gründe.
Grundsätzlich ist der aber immer geschlossen und nicht aktiv, UM aktiviert sich den Zugang bei Bedarf bzw. automatisch für bestimmte Vorgänge.
Sieht man dann auch im Log:
Also erstmal kann sich UM selbst bei deiner bei "Wunsch" den TR-069 öffnen von außen.
Grundsätzlich ist der aber immer geschlossen und nicht aktiv, UM aktiviert sich den Zugang bei Bedarf, bzw. automatisch für bestimmte Vorgänge. Wie man aber sieht nicht auf eine öffentliche IP was ihn faktisch von außen auch nicht erreichbar macht.
Sieht man dann auch im Log:

08.11.16 18:41:47 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) entfernt.
08.11.16 17:57:29 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) hinzugefügt.

Wenn es gelingt und unbemerkt die Router ein Teil des Botnetzes werden, ist mir das eigentlich recht egal, vor allem wenn ich einen Router von meinem Anbieter habe.
Schließlich hat er mich ja allen Mitteln und Rechten mich selbst um Updates zu kümmern entzogen. Also liegt es vollkommen in seiner Verantwortung.

Auf der anderen Seite erwarte ich von Firmen wie AVM, UM, Telekom, KDG und Co dass sie in ihren "Testumgebungen" solche Geräte 24/7 im Betrieb haben (wie es jetzt auch bei der Telekom der Fall war) und solche "Besonderheiten" direkt auffallen.

 

[tq1199]

Wie man aber sieht nicht auf eine öffentliche IP was ihn faktisch von außen auch nicht erreichbar macht.
Sieht man dann auch im Log:

08.11.16 18:41:47 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) entfernt.
08.11.16 17:57:29 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) hinzugefügt.

BTW: Die temporäre Portweiterleitung (Port 8089), ist von der öffentlichen IP-Adresse der FritzBox zur privaten IP-Adresse der FritzBox. Wenn man z. B. eine support-Datei erstellt, kann man das dort sehen.

Für den Zeitraum der temporären Portweiterleitung, ist der Port 8089 über die öffentliche IP-Adresse der FritzBox, aus dem Internet (von außen) auch erreichbar (... hier von 17:57.29 Uhr bis 18:41:47 Uhr).

 

[xysvenxy]

Ich habe bei heise eben den Netzcheck gemacht, alles grün, egal welchen Test ich auch durchgeführt habe:
https://www.heise.de/security/dienste/portscan/test/do.shtml?scanart=9&ports=7547

 

[tq1199]

Ich habe bei heise eben den Netzcheck gemacht, alles grün, egal welchen Test ich auch durchgeführt habe:
https://www.heise.de/security/dienste/portscan/test/do.shtml?scanart=9&ports=7547

Wenn Du eine FritzBox hast, dann solltest Du den Port 8089 scannen. Auf 7547 lauschen die Server von UM. Z. B.:

<i>
</i> url = "http://acs.prov.kabelbw.de:7547/live/CPEManager/CPEs/genericTR69";

 

[Gizeh775]

Wie man aber sieht nicht auf eine öffentliche IP was ihn faktisch von außen auch nicht erreichbar macht.
Sieht man dann auch im Log:

08.11.16 18:41:47 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) entfernt.
08.11.16 17:57:29 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) hinzugefügt.

BTW: Die temporäre Portweiterleitung (Port 8089), ist von der öffentlichen IP-Adresse der FritzBox zur privaten IP-Adresse der FritzBox. Wenn man z. B. eine support-Datei erstellt, kann man das dort sehen.

Für den Zeitraum der temporären Portweiterleitung, ist der Port 8089 über die öffentliche IP-Adresse der FritzBox, aus dem Internet (von außen) auch erreichbar (... hier von 17:57.29 Uhr bis 18:41:47 Uhr).

Das kann so nicht ganz korrekt sein das würde bedeuten man benötigt eine Internetverbindung damit man darauf zugreifen kann, was man aber nicht brauch, man braucht nur die aktive Kabelverbindung:

08.11.16 18:41:47 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) entfernt.
08.11.16 18:40:39 Internetverbindung wurde erfolgreich hergestellt. IPv4 wird über DS-Lite genutzt. AFTR-Gateway: (de-reu01a-cr06.aftr.kabelbw.de), IPv4-MTU: (1500).
08.11.16 18:40:39 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 2a02:8070:... [2 Meldungen seit 08.11.16 18:16:30]
08.11.16 18:40:29 IPv6-Präfix wurde erfolgreich bezogen. Neues Präfix: 2a02:8070:...
08.11.16 18:40:19 Internetverbindung IPv6 wurde erfolgreich hergestellt. IP-Adresse: 2a02:8070:...
08.11.16 17:57:29 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) hinzugefügt.
08.11.16 17:47:27 Internetverbindung IPv6 wurde getrennt, Präfix nicht mehr gültig.
08.11.16 17:47:25 Internetverbindung wurde getrennt. no answer on DISCOVER)

 

[tq1199]

Das kann so nicht ganz korrekt sein das würde bedeuten man benötigt eine Internetverbindung damit man darauf zugreifen kann, was man aber nicht brauch, man braucht nur die aktive Kabelverbindung:

<i>
</i>08.11.16 18:41:47 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) entfernt.
08.11.16 18:40:39 Internetverbindung wurde erfolgreich hergestellt. IPv4 wird über DS-Lite genutzt. AFTR-Gateway: (de-reu01a-cr06.aftr.kabelbw.de), IPv4-MTU: (1500).
08.11.16 18:40:39 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 2a02:8070:... [2 Meldungen seit 08.11.16 18:16:30]
08.11.16 18:40:29 IPv6-Präfix wurde erfolgreich bezogen. Neues Präfix: 2a02:8070:...
08.11.16 18:40:19 Internetverbindung IPv6 wurde erfolgreich hergestellt. IP-Adresse: 2a02:8070:...
08.11.16 17:57:29 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) hinzugefügt.
08.11.16 17:47:27 Internetverbindung IPv6 wurde getrennt, Präfix nicht mehr gültig.
08.11.16 17:47:25 Internetverbindung wurde getrennt. no answer on DISCOVER)

Naja, mit der Kabelverbindung wird auch die Internetverbindung vorhanden sein. Hier in deinem Fall per IPv6 (... wegen DS-lite). Wenn tatsächlich keine Internetverbindung vorhanden ist, dann kann der Zugang zum Port 8089 evtl. auch über ein internes Netz (wie bei der Telefonie) stattfinden.

Aber wie bereits geschrieben, wenn man eine support-Datei erstellt, kann man in dieser (Section "TR069-Log") die Portweiterleitung sehen. Und wenn man es zufällig im Log sieht, kann man ja mal mit einem sofortigen IPv6-Portscan (aus dem Internet) testen.

 

[Gizeh775]

Das kann so nicht ganz korrekt sein das würde bedeuten man benötigt eine Internetverbindung damit man darauf zugreifen kann, was man aber nicht brauch, man braucht nur die aktive Kabelverbindung:

08.11.16 18:41:47 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) entfernt.
08.11.16 18:40:39 Internetverbindung wurde erfolgreich hergestellt. IPv4 wird über DS-Lite genutzt. AFTR-Gateway: (de-reu01a-cr06.aftr.kabelbw.de), IPv4-MTU: (1500).
08.11.16 18:40:39 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 2a02:8070:... [2 Meldungen seit 08.11.16 18:16:30]
08.11.16 18:40:29 IPv6-Präfix wurde erfolgreich bezogen. Neues Präfix: 2a02:8070:...
08.11.16 18:40:19 Internetverbindung IPv6 wurde erfolgreich hergestellt. IP-Adresse: 2a02:8070:...
08.11.16 17:57:29 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) hinzugefügt.
08.11.16 17:47:27 Internetverbindung IPv6 wurde getrennt, Präfix nicht mehr gültig.
08.11.16 17:47:25 Internetverbindung wurde getrennt. no answer on DISCOVER)

Naja, mit der Kabelverbindung wird auch die Internetverbindung vorhanden sein. Hier in deinem Fall per IPv6 (... wegen DS-lite). Wenn tatsächlich keine Internetverbindung vorhanden ist, dann kann der Zugang zum Port 8089 evtl. auch über ein internes Netz (wie bei der Telefonie) stattfinden.

Aber wie bereits geschrieben, wenn man eine support-Datei erstellt, kann man in dieser die Portweiterleitung sehen. Und wenn man es zufällig im Log sieht, kann man ja mal mit einem sofortigen IPv6-Portscan (aus dem Internet) testen.

Das ist ja der Punkt, es war keine Internetverbindung vorhanden, sieht man doch im Log, deswegen war ja der Mensch vom 2nd Level Support auch auf meiner Fritz Box.
08.11.16 17:57:29 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) hinzugefügt.
08.11.16 17:47:27 Internetverbindung IPv6 wurde getrennt, Präfix nicht mehr gültig.

Erst Internet weg, dann Port freigegeben.
Dann Internet wieder da, dann Port geschlossen.

 

[tq1199]

Dann Internet wieder da, dann Port geschlossen.

Ja, aber erst nach ca. 1 Minute:

<i>
</i>08.11.16 18:41:47 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) entfernt.
08.11.16 18:40:39 Internetverbindung wurde erfolgreich hergestellt.

Ob das immer so ist, ... bzw. ob man daraus ableiten kann, dass die eigene FritzBox-cable nie aus dem Internet über den Port 8089 erreicht werden kann?

 

[Gizeh775]

Dann Internet wieder da, dann Port geschlossen.

Ja, aber erst nach ca. 1 Minute:

<i>
</i>08.11.16 18:41:47 Freigabe für Port 8089 auf 192.0.0.2 (fritz.box) entfernt.
08.11.16 18:40:39 Internetverbindung wurde erfolgreich hergestellt.

Ob das immer so ist, ... bzw. ob man daraus ableiten kann, dass die eigene FritzBox-cable nie aus dem Internet über den Port 8089 erreicht werden kann?

Naja man schaut ja und fragt (wenn man gerade telefoniert) ob es wieder geht und alles gut ist, da bleibt man natürlich paar Sekunden länger drauf.

Ob das grundsätzlich so ist will ich nicht sagen, aber es wird wohl das Standardvorgehen bei UM eigenen Geräten sein, dass der Port nur bei Bedarf geöffnet wird.

 

[tq1199]

..., aber es wird wohl das Standardvorgehen bei UM eigenen Geräten sein, dass der Port nur bei Bedarf geöffnet wird.

Nein, bei "UM eigenen Geräten" ist das nicht so. Ich habe ja eine FritzBox-cable vom UM, und an dieser ist der Port 8089 aus dem Internet permanent erreichbar (d. h. immer offen).

 

[Gizeh775]

..., aber es wird wohl das Standardvorgehen bei UM eigenen Geräten sein, dass der Port nur bei Bedarf geöffnet wird.

Nein, bei "UM eigenen Geräten" ist das nicht so. Ich habe ja eine FritzBox-cable vom UM, und an dieser ist der Port 8089 aus dem Internet permanent erreichbar (d. h. immer offen).

Ach, macht ja auch Sinn.
Damit wird ja nur der Vorgang angestoßen. die Weiterleitung ist dann wohl dafür da um direkt auf die Fritzbox zugreifen zu können, der offene Port so in seiner Form nur um das "update" oder was auch immer anzustoßen.
Was mich aber wundert dass ich bei mir auch den offenen Port nicht hab.

 

[tq1199]

Was mich aber wundert dass ich bei mir auch den offenen Port nicht hab.

Ja, weil die interne Weiterleitung zum lauschenden daemon (interne IP-Adresse+Port) entfernt worden ist.

 

[Gizeh775]

Das ist der Joke, laut FritzBox ist es offen:

 

[tq1199]

Das ist der Joke, laut FritzBox ist es offen:

Offen, für den Zugang per IPv6. Andererseits darf man nicht alles was im Web-If der FritzBox steht, für bare Münze nehmen.

EDIT:

BTW: Die Freigaben (hinzufügen bzw. entfernen) auf die IP-Adresse 192.0.0.2, die Du im Log deiner FritzBox gesehen hast, hat etwas mit einem "IPv4-in-IPv6-Tunnel" zu tun (weil Du DS-lite hast), für den Zugang des Supporters zu deiner FritzBox.

Siehe z. B. die Ziffer 5.7 in https://tools.ietf.org/html/rfc6333

 

[2young2die]

Ja, die Fritzboxen haben wohl eine Adress fest drin. Wenn eine Konfig-Anfrage kommt, startet der Router von sich aus dann ein Update von der fest hinterlegten URL. Daher kann zumindest bei einem TR-069 Angriff direkt nicht viel passieren.

So. bei den Bekannten geschaut.
Toll ist, das der DLINK wohl kein TR-069 hat.
Nicht toll ist, das dennoch eine Lücke in der Büchse klafft, über man von intern und wohl auch extern Root-Zugriff erhalten kann - über eine Remotemanagement Geschichte.
Beschrieben hier: https://www.heise.de/security/meldu...strator-Zugang-auf-D-Link-Routern-900341.html

Es gibt ein Firmwareupdate hierfür.

Soweit, so schlecht. Das Grundproblem bleibt: Niemand kümmert sich um diese Geräte. Auch von Unitymedia hätte ich zumindest ein Brief erwartet, das man doch bitte updaten soll, weil böse Lücke. Immerhin haben die das Gerät als "kostenlose Leihstellung" zur Verfügung gestellt.
Ich will nicht wissen, wiviele DLink Router damit noch unterwegs sind.

 

[hajodele]

Soweit, so schlecht. Das Grundproblem bleibt: Niemand kümmert sich um diese Geräte. Auch von Unitymedia hätte ich zumindest ein Brief erwartet, das man doch bitte updaten soll, weil böse Lücke. Immerhin haben die das Gerät als "kostenlose Leihstellung" zur Verfügung gestellt.

Das DLink ist kostenlos - ohne Leihstellung. Beim Providerwechsel darfst du den behalten.
UM kümmert sich nicht mal ordentlich um ihre ureigenen Geräte. Wieso erwartest du es dabei?

 

[nick99cgn]

Auf der Webseite https://www5.unitymedia.de/hilfe_service/downloads/ wird ein Firmware Update für d-Link Router angeboten.

 

[MartinP_Do]

Wenn der Zugang auf TR-069 wirklich über IPv4 (192.0.0.2) erfolgt, wäre es spannend, wie jemand aus dem Internet auf diese Adresse kommen soll...

Ist das in Wirklichkeit von außen gesehen die öffentliche IPv6 Adresse, sollte die Frequenz der Hacking-Versuche deutlich geringer, als bei IPv4 sein, alleine durch den unüberschaubaren IPv6 - Adressraum im Vergleich zu IPv4.

Bei Heise steht auch inzwischen, daß es gar nicht ein teilweiser Einbruch über TR-069 gewesen ist, sondern die Telekom-Speedports durch die schiere Anzahl von "Anklopfversuchen" die Grätsche gemacht haben... Auch Speedports bei denen die Kunden TR-069 in der Konfiguration abgeschaltet hatten waren betroffen...

 

[tq1199]

Wenn der Zugang auf TR-069 wirklich über IPv4 (192.0.0.2) erfolgt, wäre es spannend, wie jemand aus dem Internet auf diese Adresse kommen soll...

Wenn in der FritzBox (evtl. auch nur temporär durch die Hotline) eine Portweiterleitung von der öffentlichen IPv4-Adresse zum Port 8089 der IP-Adresse 192.0.0.2 eingerichtet ist, dann kommt man aus dem Internet auf diese IP-Adresse. (weiter oben geht es aber um einen Tunnel).

..., sondern die Telekom-Speedports durch die schiere Anzahl von "Anklopfversuchen" die Grätsche gemacht haben... Auch Speedports bei denen die Kunden TR-069 in der Konfiguration abgeschaltet hatten waren betroffen...

Das kann ich mir nicht vorstellen, denn es wurde/wird ja nicht nur am Port 7547 der Telekom-Speedports "angeklopft". Es wird nicht mehr und nicht weniger, am Port 7547 "aller" border devices mit einer externen/öffentlichen IPv4-Adresse angeklopft.

M. E. sind manche border devices ja auch nicht optimal konfigriert, denn auch wenn diese nicht auf dem Port 7547 lauschen, dann antworten manche (... die meisten?) border devices (die FritzBoxen auch) auf einen "Anklopfversuch" (syn-Flag) mit einem reset+ack-Flag. ... und das müsste nicht sein, denn sie könnten den "Anklopfversuch" auf Port 7547 einfach ignorieren.

<i>
</i>95.###.###.82.7547 > 192.168.178.21.50236: Flags [R.], cksum 0x0bc1 (correct), seq 0, ack 1911595910, win 0, length 0

 

[MartinP_Do]

"Dank" DS-Lite ist aber für das öffentliche IPv4 Netz nicht meine Fritzbox das Border Device, sondern der AFTR von Unitymedia....

Wenn eine Attacke aus dem Internet gegen die geliehene UM-Fritzbox über offene Ports o. Ä. geritten werden sollte, ginge das nur über IPv6 ....

Mit Business-Tarif oder einem alten IPv4 - Vertrag sollte man sich natürlich mehr Sorgen machen ...

 

[tq1199]

Wenn eine Attacke aus dem Internet gegen die geliehene UM-Fritzbox über offene Ports o. Ä. geritten werden sollte, ginge das nur über IPv6 ....

Ja, das ist richtig und da gibt es keinen Unterschied, denn die geliehene UM-FritzBox antwortet genau so auf das "Anklopfen" auf Port 8089. Z. B.:

<i>
</i>:~ $ nc -zv -6 ####:####:####:0:####:6ff:fe2b:#### 8089
Connection to ####:####:####:0:####:6ff:fe2b:#### 8089 port [tcp/*] succeeded!

 

[MartinP_Do]

Wenn derzeit die IPv4 Portscans der Telekom-Speedports im Minutentakt aufschlagen, dauert es mit etwas Glück noch ein bisschen (Jahre - vielleicht ist die Fritzbox bis dahin auch kaputt) bis der erste IPv6 Portscan an meiner Fritzbox vorbeikommt - der Adressraum ist eben etwas größer ;-)

 

[addicted]

Vielleicht muss ich doch mal diese Studie raussuchen, die meinte es sei deutlich leichter den v6 Adressraum abzusuchen als man erstmal denkt...

 

[SpaceRat]

Vielleicht muss ich doch mal diese Studie raussuchen, die meinte es sei deutlich leichter den v6 Adressraum abzusuchen als man erstmal denkt...

Von einer Studie zu dem Thema weiß ich nichts, aber mit ein paar Annahmen und Zusatzinfos kann man ihn schon deutlich verkleinern.

1. Ich muß nicht den gesamten Adressraum durchsuchen, sondern nur den, der auch vergeben wurde.
2. Aus einem delegierten Präfix nehmen sich die Router nicht irgendein Subnet, sondern i.d.R. das erste oder zweite rechnerisch mögliche.
   Beispiel:
   Aus dem delegierten Präfix 2001:db8:dead::/48 wird der Router sich am ehesten 2001:db8:dead:0::/64 oder 2001:db8:dead:1::/64 nehmen.
   Bei den häufiger anzutreffenden /56er oder /57er läuft das analog, wäre hier nur schlechter darzustellen.
3. Aus einem delegierten Präfix delegieren die Haupt-Router nicht irgendwelche Subnets, sondern i.d.R. das jeweils letzte verfügbare und dann meistens ein /64 oder /62.
   Beispiel:
   Aus dem delegierten Präfix 2001:db8:dead::/48 wird der Haupt-Router am ehesten 2001:db8:dead:ffff::/64 oder 2001:db8:dead:fffc::/62 delegieren, als zweites dann eben 2001:db8:dead:fffe::/64 bzw. 2001:db8:dead:fff8::/62

Die ersten 64 Bit haben wir damit schon erheblich weiter eingeschränkt als auf die rechnerisch möglichen 2^64 Möglichkeiten.
Was den Port-Scan am meisten erschwert sind die zweiten 64 Bit, denn durch Verwendung von DHCPv6, SLAAC mit Bullshit Extensions oder SLAAC ohne Bullshit Extensions sind dort wirklich an die 2^64 Kombinationen möglich.

Wenn ich es aber nur auf Router abgesehen habe, dann erwische ich schon recht viele, wenn ich mich bei den zweiten 64 Bit auf ::1 und ::2 beschränke.