web-dev-qa-db-fra.com

Comment iPv6 affectera-t-il les techniques d'atténuation DDO?

IPv6 introduit un espace d'adressement beaucoup plus important que IPv4 et il existe de nombreuses nouvelles techniques pour créer et atténuer les attaques DDO. Quels sont quelques exemples de risques et d'atténies?

Par exemple, avec l'espace d'adressage supplémentaire d'IPv6, il existe un nouvel ensemble de Bogon IPS qui peut être filtré?

Existe-t-il une preuve de travail ou une blanchissante possible pour des connexions valides?

Existe-t-il des caractéristiques inhérentes à IPv6 qui pourrait influencer le risque DDO (positivement ou négativement)?

9
goodguys_activate

Rappelez-vous que l'IPv6 est pas si différent que IPv4.

La couche 2 est toujours la même, de même que la couche 4 et au-dessus. Les protocoles de routage restent également les mêmes.

Donc, un bon vieux "permet de remplir les victimes lien Internet", fonctionne comme IPv6, mais avec des outils différents. Ce que l'on pouvait espérer, c'est que le FAI est un meilleur travail d'arrêt des adresses interrogées de quitter leur réseau lorsqu'ils implémentent IPv6.

3
sk0yern

Y a-t-il un nouvel ensemble de Bogon IP qui peut être filtré?

Oui, et c'est expansif. https://github.com/autocracy/python-ipy/blob/d051b1ce7938f51b1ce7938f5ef6ea75bc72c51509b568b6ca/ipy.py#l36 est un début décent pour examiner comment les allocations sont configurées. Voir le IPv6ranges table.

Existe-t-il une preuve de travail ou une blanchissante possible pour des connexions valides?

Celui-là, je ne sais rien d'utilité.

Existe-t-il des caractéristiques inhérentes à IPv6 qui pourraient causer un risque de DDO ou être utilisé comme une atténuation?

Oui, l'espace d'adresses massive peut présenter un problème localement car tout message entrant entraînerait généralement le routeur qui tente de trouver une adresse L2 pour transmettre le paquet. Chaque adresse peut entraîner une nouvelle sollicitation, donc c'est un effet négatif. Voir http://tools.ietf.org/html/rfc6164#ssection-5.2

3
Jeff Ferland

Si vous êtes intéressé par IPv6 Security, vous devez consulter la liste de diffusion IPv6Hackers: http://lists.si6networks.com/listinfo/ipv6hackers

Les outils que vous devriez examiner incluent THC-IPv6 à http://www.thc.org/thc-ippv6/ et la boîte à outils IPv6 à http://www.si6networks.com/ recherche/outils.html

Les listes de Bogon sont maintenues par Team Cymru, comme pour IPv4: http://www.team-cymru.org/services/bogon/ . Ne pas non Utilisez des listes de chandres codées durs statiques. Ils seront obsolètes. Si vous avez besoin de bogon listes, assurez-vous de les maintenir et de les mettre à jour, ou utilisez un flux en direct.

3
Sander Steffann