[LAC-TF] [lacnog] Quiz: Weird IPv6 Traffic on the Local Network

Jaime Olmos jaime at noc.udg.mx
Wed Feb 17 14:41:15 BRST 2016


Estimados,

Gracias Fernando por compartir la captura de tráfico, ahora tiene sentido porque vi un par de direcciones IPv4, y sin dejar de dar crédito a lo leído en el siguiente articulo: https://www.famkruithof.net/4006ipv6prefix.html 

Se observa un bug en el dispositivo Apple (de acuerdo a su MAC Address), debido que en el encabezado de ethernet, en particular el ethernet type, se indica que continua un encabezado IPv6 (0x86dd); sin embargo en la cabecera de capa tres indica un formato IPv4 pero finalmente es interpretado como un encabezado de IPv6.



Editando la captura de tráfico de forma binaria a través vim (cambiando el tipo con :%!xxd  a editor hexadecimal, y con :%!xxd -r para regresar al modo normal) modifique el ethernet type a 0x0800 (IPv4).  Evidenciando lo mencionado por el autor:



El autor bien menciona, noto un par de direcciones IPv6 asignadas equivocadamente en sus equipos que comenzaban con 4006::, también observó otras direcciones IPv6 con 4011::, 8006:: y 8011::. Esto sucedía en su CPE  FritzBox 7340 y su iPad en dual-stack.

0000  bc 05 43 ea be 92 78 7e  61 ee 16 83 86 dd 45 00   ..C...x~ a.....E.
0010  00 40 3e a3 40 00 40 06  a0 bd c0 a8 b2 29 40 e9   .@>. at .@. .....)@.
0020  a7 9c f1 29 00 50 f1 41  81 59 00 00 00 00 b0 02   ...).P.A .Y......
0030  ff ff 32 fc 00 00 02 04  05 b4 01 03 03 05 01 01   ..2..... ........
0040  08 0a 49 3b fb 58 00 00  00 00 04 02 00 00      ..I;.X.. ......

En el desglose del paquete con formato malformado, se identifica que en realidad se trata del inicio de una conexión http via header IPv4:

Dirección MAC: 
Destino: bc05.43ea.be92 
Origen: 787e.61ee.1683
Company Apple
Rango 787e.6100.0000 – 787e.61ff.ffff

Eth type  : 86 dd  (IPv6) 
Pero en el paquete IP
IP version: 4
Hdr Len: 5 
TOS 00  
Longitud total 00 40 
Id 3e a3 
flags+fragment offset 40 00 
TTL: 40 
Siguiente protocol: 06  (TCP)
header checksum:  a0 bd 
IP origen: c0 a8 b2 29  (192.168.178.41)
IP destino  : 40 e9 a7 9c  (64.233.167.156)

Puerto origen: f1 29 
Puerto destino: 00 50 (80)
Número de secuencia: f1 41 81 59 
ack no: 00 00 00 00 
hdr len: b
reserved: 0 
Bandera TCP: 02 (SYN)
Window size: ff ff 
TCP checksum: 32 fc 
Urgent: 00 00 02 04  

Carga util:
05 b4 01 03 03 05 01 01 08 0a 49 3b fb 58 00 00 00 00 04 02 00 00 

De acuerdo al formato anterior, IPv4, en el campo de protocolo se evidencia porque la interpretación como IPv6 aparecen otras direcciones IPv6 como 4011:: correspondiente a UDP y 8006::  respecto a TCP.

Saludos,
JAIME OLMOS

http://www.ipv6.udg.mx





On 2/16/16, 6:15 PM, "LACNOG on behalf of Jaime Olmos" <lacnog-bounces at lacnic.net on behalf of jaime at noc.udg.mx> wrote:

Que tal Fernando,

En primer lugar, la dirección IPv6 constan de 4006:a0bd:c0a8:B229:40e9:a79c:F129:50. Esto podría ser una parte de una dirección IPv4, c0a8:B229 corresponde con 192.168.178.41 y 40e9:a79c corresponde a 64.233.167.156. ¿Por qué? No lo sé. Podrías compartir más información.

Saludos,
JAIME OLMOS

http://www.ipv6.udg.mx









On 2/16/16, 4:55 PM, "LACNOG on behalf of Fernando Gont" <lacnog-bounces at lacnic.net on behalf of fgont at si6networks.com> wrote:

Estimados,

Para entretenerse:
<http://blog.si6networks.com/2016/02/quiz-weird-ipv6-traffic-on-local-network.html>


Version fea sin colores (en el blog se ve mas facil):
---- cut here ----
Quiz: Weird IPv6 Traffic on the Local Network

One thing that I enjoy a lot is capturing network traffic to
subsequently try to figure out whether the captured traffic makes any
sense -- you learn a lot that way.

The following packet was shared with me by Timo Hilbrink during the 10th
Slovenian IPv6 Summit.

The quiz consists in explaining the packet trace bellow.

Actors:

* Apple iOS 8.3
* Fritz!Box CPE


The "Crime Scene" (tcpdump packet trace):

Two packets:

19:00:02.246726 IP6 truncated-ip6 - 16011 bytes missing!(class 0x50,
flowlabel 0x00040,
hlim 0, next-header unknown (64) payload length: 16035)
4006:a0bd:c0a8:b229:40e9:a79c:f129:50 > f141:8159::b002:ffff:32fc:0:
ip-proto-64
16035
19:00:02.252529 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 256)
fe80::be05:43ff:feea:be92 > ip6-allnodes: [icmp6 sum ok] ICMP6, router
advertisement, length 256
hop limit 255, Flags [other stateful], pref high, router lifetime 1800s,
reachable time
0s, retrans time 0s
prefix info option (3), length 32 (4): 4006:a0bd:c0a8:b229::/64, Flags
[onlink, auto],
valid time 7200s, pref. time 0s
prefix info option (3), length 32 (4): 4006:11b:c0a8:b229::/64, Flags
[onlink, auto],
valid time 6973s, pref. time 0s
prefix info option (3), length 32 (4): 4006:3e38:c0a8:b229::/64, Flags
[onlink, auto],
valid time 6972s, pref. time 0s
prefix info option (3), length 32 (4): 2001:980:376d:1::/64, Flags
[onlink, auto], valid
time 6603s, pref. time 3600s
rdnss option (25), length 24 (3): lifetime 1200s, addr:
fd00::be05:43ff:feea:be92
mtu option (5), length 8 (1): 1500
unknown option (24), length 8 (1):
0x0000: 0008 0000 0708


So... can you explain what this packet trace is all about?

  -- Fernando Gont
---- cut here ----

Saludos cordiales,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492




_______________________________________________
LACNOG mailing list
LACNOG at lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

_______________________________________________
LACNOG mailing list
LACNOG at lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog


-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/lactf/attachments/20160217/6b2f9a5e/attachment.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: Screenshot 2016-02-17 10.00.53.png
Type: image/png
Size: 65714 bytes
Desc: not available
URL: <https://mail.lacnic.net/pipermail/lactf/attachments/20160217/6b2f9a5e/attachment.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: Screenshot 2016-02-17 10.19.24.png
Type: image/png
Size: 80136 bytes
Desc: not available
URL: <https://mail.lacnic.net/pipermail/lactf/attachments/20160217/6b2f9a5e/attachment-0001.png>


More information about the LACTF mailing list