<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><font face="Calibri">Estimados,</font></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><font face="Calibri"><br></font></div><div><font face="Calibri" style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">Gracias Fernando por compartir la captura de tráfico, ahora tiene sentido porque vi un par de direcciones IPv4, y sin dejar de </font><font face="Calibri">dar crédito a lo leído en el siguiente </font><span style="font-family: Calibri; font-size: 14px;">articulo: </span><a href="https://www.famkruithof.net/4006ipv6prefix.html" style="font-family: Calibri; font-size: 14px;">https://www.famkruithof.net/4006ipv6prefix.html</a><span style="font-family: Calibri; font-size: 14px;"> </span></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><font face="Calibri"><br></font></div><div><font face="Calibri,sans-serif" style="font-family: Calibri;">Se observa un bug en el </font><font face="Calibri">dispositivo</font><font face="Calibri" style="font-family: Calibri, sans-serif;"> Apple (de acuerdo a su MAC Address), debido que en el </font><font face="Calibri,sans-serif">encabezado</font><font face="Calibri,sans-serif" style="font-family: Calibri;"> de ethernet, en particular el ethernet type, se indica que continua un </font><font face="Calibri,sans-serif"><font face="Calibri">encabezado IPv6 (0x86dd); sin embargo en la cabecera de capa tres indica un formato</font> IPv4 pero finalmente es interpretado como un encabezado de IPv6<font face="Calibri">.</font></font></div><div><font face="Calibri,sans-serif"><font face="Calibri"><br></font></font></div><div><img src="cid:80EB4405-2921-481C-AB26-1BA1254AE662" type="image/png" width="913.000000" height="427.000000"></div><div><font face="Calibri"><font face="Calibri,sans-serif"><br></font></font></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><font face="Calibri"><br></font></div><div><font face="Calibri"><font face="Calibri,sans-serif">Editando la captura de tráfico de forma binaria a </font>través<font face="Calibri,sans-serif"> vim (</font><span style="color: rgb(34, 36, 38); background-color: rgb(255, 255, 255);">cambiando el tipo con </span><strong style="margin: 0px; padding: 0px; border: 0px; color: rgb(34, 36, 38);">:%!xxd</strong><span style="color: rgb(34, 36, 38); background-color: rgb(255, 255, 255);"> a editor hexadecimal, y con </span><strong style="margin: 0px; padding: 0px; border: 0px; color: rgb(34, 36, 38);">:%!xxd -r</strong><span style="color: rgb(34, 36, 38); background-color: rgb(255, 255, 255);"> para regresar al modo normal</span></font><font face="Calibri,sans-serif">) modifique el ethernet type a </font><span style="font-family: Calibri;">0x0800 (IPv4). Evidenciando lo </span><font face="Calibri">mencionado por el autor:</font></div><div><font face="Calibri"><br></font></div><div><img src="cid:8D0DDDEB-ED58-46E0-89E4-F67B11B0D7A6" type="image/png" width="895.000000" height="546.000000"></div><div><span style="font-family: Calibri, sans-serif;"><br></span></div><div><span style="font-family: Calibri, sans-serif;"><br></span></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><font face="Calibri">El autor bien menciona, noto un par de direcciones IPv6 asignadas equivocadamente en sus equipos que comenzaban con 4006::, también observó otras direcciones IPv6 con 4011::</font><span style="font-family: Calibri;">, 8006:: y 8011::. Esto sucedía en su CPE FritzBox 7340 y su iPad en dual-stack.</span></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><font face="Consolas"><br></font></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><div style="color: rgb(0, 0, 0);"><font face="Consolas">0000 bc 05 43 ea be 92 <b style="color: rgb(0, 0, 0);">78 7e 61 ee 16 83</b> <b><font color="#007f00">86 dd</font></b> <font color="#7f0000"><b>4</b></font>5 00 ..C...x~ a.....E.</font></div><div style="color: rgb(0, 0, 0);"><font face="Consolas">0010 00 40 3e a3 40 00 40 06 a0 bd <b><font color="#0000ff">c0 a8 b2 29</font> <font color="#ff6600">40 e9</font> </b>.@>.@.@. .....)@.</font></div><div><font face="Consolas">0020<b style="color: rgb(0, 0, 0);"> <font color="#ff6600">a7 9c</font> f1 29 00 50</b> <font color="#ff6600">f1 41 81 59 00 00 00 00 b0 02 </font>...).P.A .Y......</font></div><div><font face="Consolas">0030<font color="#ff6600"> ff ff 32 fc 00 00</font> 02 04 05 b4 01 03 03 05 01 01 ..2..... ........</font></div><div style="color: rgb(0, 0, 0);"><font face="Consolas">0040 08 0a 49 3b fb 58 00 00 00 00 04 02 00 00 <span class="Apple-tab-span" style="white-space:pre"> </span> ..I;.X.. ......</font></div></div><div><div id=""><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><font face="Consolas"><br></font></div><div><font face="Calibri">En el desglose del paquete con formato malformado, se identifica que en realidad se trata del inicio de una conexión http via header IPv4:</font></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><font face="Consolas"><br></font></div><div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Dirección MAC: </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Destino: bc05.43ea.be92 </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Origen:<b> 787e.61ee.1683</b></font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><div style="color: rgb(0, 0, 0);"><font face="Consolas">Company Apple</font></div><div><font face="Consolas">Rango 787e.6100.0000 – 787e.61ff.ffff</font></div><div style="color: rgb(0, 0, 0);"><font face="Consolas"><br></font></div></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Eth type : <font color="#007f00"><b>86 dd</b></font> (IPv6) </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Pero en el paquete IP</font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">IP version: <font color="#7f0000"><b>4</b></font></font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Hdr Len: 5 </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">TOS 00 </font></div><div><font face="Consolas">L</font><font face="Consolas" style="color: rgb(0, 0, 0); font-size: 14px;">ongitud total 00 40 </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Id 3e a3 </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">flags+fragment offset 40 00 </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">TTL: 40 </font></div><div><font face="Consolas">Siguiente protocol: 06 (TCP)</font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">header checksum: a0 bd </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">IP origen: c0 a8 b2 29 (192.168.178.41)</font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">IP destino : 40 e9 a7 9c (64.233.167.156)</font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas"><br></font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Puerto origen: f1 29 </font></div><div><font face="Consolas">Puerto destino: 00 50 (80)</font></div><div><font face="Consolas">Número de secuencia: f1 41 81 59 </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">ack no: 00 00 00 00 </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">hdr len: b</font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">reserved: 0 </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Bandera TCP: 02 (SYN)</font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Window size: ff ff </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">TCP checksum: 32 fc </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Urgent: 00 00 02 04 </font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas"><br></font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">Carga util:</font></div><div style="color: rgb(0, 0, 0); font-size: 14px;"><font face="Consolas">05 b4 01 03 03 05 01 01 08 0a 49 3b fb 58 00 00 00 00 04 02 00 00 </font></div></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><br></div><div><font face="Calibri,sans-serif"><font face="Calibri">De </font>acuerdo<font face="Calibri"> al formato anterior, IPv4, en el campo de protocolo se evidencia porque la interpretación como IPv6 aparecen</font></font><font face="Calibri,sans-serif" style="font-family: Calibri;"> otras direcciones IPv6 como 4011:: </font><font face="Calibri">correspondiente a UDP y</font><span style="color: rgb(0, 0, 0); font-family: Calibri; font-size: 14px;"> 8006:: respecto a TCP.</span></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><br></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">Saludos,</div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">JAIME OLMOS</div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><br></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><a href="http://www.ipv6.udg.mx">http://www.ipv6.udg.mx</a></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><br></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><br></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><br></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><br></div></div></div></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><br></div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;">On 2/16/16, 6:15 PM, "LACNOG on behalf of Jaime Olmos" <<a href="mailto:lacnog-bounces@lacnic.net">lacnog-bounces@lacnic.net</a> on behalf of <a href="mailto:jaime@noc.udg.mx">jaime@noc.udg.mx</a>> wrote:</div><div style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px;"><br></div><blockquote id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE" style="color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 14px; border-left-color: rgb(181, 196, 223); border-left-width: 5px; border-left-style: solid; padding: 0px 0px 0px 5px; margin: 0px 0px 0px 5px;"><div>Que tal Fernando,</div><div><br></div><div>En primer lugar, la dirección IPv6 constan de 4006:a0bd:c0a8:B229:40e9:a79c:F129:50. Esto podría ser una parte de una dirección IPv4, c0a8:B229 corresponde con 192.168.178.41 y 40e9:a79c corresponde a 64.233.167.156. ¿Por qué? No lo sé. Podrías compartir más información.</div><div><br></div><div>Saludos,</div><div>JAIME OLMOS</div><div><br></div><div><a href="http://www.ipv6.udg.mx">http://www.ipv6.udg.mx</a></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div>On 2/16/16, 4:55 PM, "LACNOG on behalf of Fernando Gont" <<a href="mailto:lacnog-bounces@lacnic.net">lacnog-bounces@lacnic.net</a> on behalf of <a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a>> wrote:</div><div><br></div><blockquote id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE" style="BORDER-LEFT: #b5c4df 5 solid; PADDING:0 0 0 5; MARGIN:0 0 0 5;"><div>Estimados,</div><div><br></div><div>Para entretenerse:</div><div><<a href="http://blog.si6networks.com/2016/02/quiz-weird-ipv6-traffic-on-local-network.html">http://blog.si6networks.com/2016/02/quiz-weird-ipv6-traffic-on-local-network.html</a>></div><div><br></div><div><br></div><div>Version fea sin colores (en el blog se ve mas facil):</div><div>---- cut here ----</div><div>Quiz: Weird IPv6 Traffic on the Local Network</div><div><br></div><div>One thing that I enjoy a lot is capturing network traffic to</div><div>subsequently try to figure out whether the captured traffic makes any</div><div>sense -- you learn a lot that way.</div><div><br></div><div>The following packet was shared with me by Timo Hilbrink during the 10th</div><div>Slovenian IPv6 Summit.</div><div><br></div><div>The quiz consists in explaining the packet trace bellow.</div><div><br></div><div>Actors:</div><div><br></div><div>* Apple iOS 8.3</div><div>* Fritz!Box CPE</div><div><br></div><div><br></div><div>The "Crime Scene" (tcpdump packet trace):</div><div><br></div><div>Two packets:</div><div><br></div><div>19:00:02.246726 IP6 truncated-ip6 - 16011 bytes missing!(class 0x50,</div><div>flowlabel 0x00040,</div><div>hlim 0, next-header unknown (64) payload length: 16035)</div><div>4006:a0bd:c0a8:b229:40e9:a79c:f129:50 > f141:8159::b002:ffff:32fc:0:</div><div>ip-proto-64</div><div>16035</div><div>19:00:02.252529 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 256)</div><div>fe80::be05:43ff:feea:be92 > ip6-allnodes: [icmp6 sum ok] ICMP6, router</div><div>advertisement, length 256</div><div>hop limit 255, Flags [other stateful], pref high, router lifetime 1800s,</div><div>reachable time</div><div>0s, retrans time 0s</div><div>prefix info option (3), length 32 (4): 4006:a0bd:c0a8:b229::/64, Flags</div><div>[onlink, auto],</div><div>valid time 7200s, pref. time 0s</div><div>prefix info option (3), length 32 (4): 4006:11b:c0a8:b229::/64, Flags</div><div>[onlink, auto],</div><div>valid time 6973s, pref. time 0s</div><div>prefix info option (3), length 32 (4): 4006:3e38:c0a8:b229::/64, Flags</div><div>[onlink, auto],</div><div>valid time 6972s, pref. time 0s</div><div>prefix info option (3), length 32 (4): 2001:980:376d:1::/64, Flags</div><div>[onlink, auto], valid</div><div>time 6603s, pref. time 3600s</div><div>rdnss option (25), length 24 (3): lifetime 1200s, addr:</div><div>fd00::be05:43ff:feea:be92</div><div>mtu option (5), length 8 (1): 1500</div><div>unknown option (24), length 8 (1):</div><div>0x0000: 0008 0000 0708</div><div><br></div><div><br></div><div>So... can you explain what this packet trace is all about?</div><div><br></div><div> -- Fernando Gont</div><div>---- cut here ----</div><div><br></div><div>Saludos cordiales,</div><div>-- </div><div>Fernando Gont</div><div>SI6 Networks</div><div>e-mail: <a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a></div><div>PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492</div><div><br></div><div><br></div><div><br></div><div><br></div><div>_______________________________________________</div><div>LACNOG mailing list</div><div><a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a></div><div><a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a></div><div>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a></div></blockquote><div><br></div><div>_______________________________________________</div><div>LACNOG mailing list</div><div><a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a></div><div><a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a></div><div>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a></div><div><br></div></blockquote></body></html>