[LAC-TF] Quiz: Weird IPv6 Traffic on the Local Network

Alejandro Acosta alejandroacostaalamo at gmail.com
Wed Feb 17 18:17:33 BRST 2016


Gracias Jaime... tu otra respuesta estuvo genial.

Aprobamos el Quiz? :-)  el premio?

Ale,

El 2/17/2016 a las 3:31 PM, Jaime Olmos escribió:
> Exacto Alejandro gracias por la explicación, eso que mencionas explica el por qué el segundo paquete procedente del router invalida los “supuestos anuncios de otros routers”, que propiamente no son producto de un ataque sino de un bug en la versión del S.O. de los dispositivos de Apple (iOS 8.3 en este caso) que mencionaba Fernando en su blog. 
>
> Saludos,
> JAIME OLMOS
>
> http://www.ipv6.udg.mx
>
>
>
>
>
>
>
>
> On 2/17/16, 8:11 AM, "LACTF on behalf of Alejandro Acosta" <lactf-bounces at lacnic.net on behalf of alejandroacostaalamo at gmail.com> wrote:
>
>> Hola Fer,
>>  Reconozco que busqué en Internet.
>>  Entre lineas:
>>
>> El 2/16/2016 a las 6:25 PM, Fernando Gont escribió:
>>> Estimados,
>>>
>>> Para entretenerse:
>>> <http://blog.si6networks.com/2016/02/quiz-weird-ipv6-traffic-on-local-network.html>
>>>
>>>
>>> Version fea sin colores (en el blog se ve mas facil):
>>> ---- cut here ----
>>> Quiz: Weird IPv6 Traffic on the Local Network
>>>
>>> One thing that I enjoy a lot is capturing network traffic to
>>> subsequently try to figure out whether the captured traffic makes any
>>> sense -- you learn a lot that way.
>>>
>>> The following packet was shared with me by Timo Hilbrink during the 10th
>>> Slovenian IPv6 Summit.
>>>
>>> The quiz consists in explaining the packet trace bellow.
>>>
>>> Actors:
>>>
>>> * Apple iOS 8.3
>>> * Fritz!Box CPE
>>>
>>>
>>> The "Crime Scene" (tcpdump packet trace):
>>>
>>> Two packets:
>> Veo más de dos.., pero esta bien.
>>
>>> 19:00:02.246726 IP6 truncated-ip6 - 16011 bytes missing!(class 0x50,
>>> flowlabel 0x00040,
>>> hlim 0, next-header unknown (64) payload length: 16035)
>>> 4006:a0bd:c0a8:b229:40e9:a79c:f129:50 > f141:8159::b002:ffff:32fc:0:
>>> ip-proto-64
>>> 16035
>>> 19:00:02.252529 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 256)
>>> fe80::be05:43ff:feea:be92 > ip6-allnodes: [icmp6 sum ok] ICMP6, router
>>> advertisement, length 256
>>> hop limit 255, Flags [other stateful], pref high, router lifetime 1800s,
>>> reachable time
>>> 0s, retrans time 0s
>>> prefix info option (3), length 32 (4): 4006:a0bd:c0a8:b229::/64, Flags
>>> [onlink, auto],
>>> valid time 7200s, pref. time 0s
>> Aqui es donde ocurre lo bueno o lo malo.
>> Ya para este momento basicamanete aqui es donde la caja Fritz sabe que
>> el prefijo (4006:a0bd:c0a8:b229::/64) no es válido en la red. Por ello
>> anuncia el pref. time en 0s (Preferred Time). La intención de esto es
>> invalidar el uso del prefijo en la LAN.
>>
>>
>>> prefix info option (3), length 32 (4): 4006:11b:c0a8:b229::/64, Flags
>>> [onlink, auto],
>>> valid time 6973s, pref. time 0s
>> idem
>>
>>> prefix info option (3), length 32 (4): 4006:3e38:c0a8:b229::/64, Flags
>>> [onlink, auto],
>>> valid time 6972s, pref. time 0s
>> idem
>>
>>> prefix info option (3), length 32 (4): 2001:980:376d:1::/64, Flags
>>> [onlink, auto], valid
>>> time 6603s, pref. time 3600s
>> Este debe ser el prefijo correcto en la red que los clientes deberían
>> utilizar.
>>
>>> rdnss option (25), length 24 (3): lifetime 1200s, addr:
>>> fd00::be05:43ff:feea:be92
>>> mtu option (5), length 8 (1): 1500
>>> unknown option (24), length 8 (1):
>>> 0x0000: 0008 0000 0708
>>>
>>>
>>> So... can you explain what this packet trace is all about?
>> Cuando arriba indicaba que es malo lo digo porque sería interante ver
>> este comportamiento en una red donde exista más de un prefijo válido
>> anunciado por dos diferentes routers.
>> Volviendo a lo de arriba.., podemos asumir que esto también puede ser un
>> tipo de ataque en IPv6?. Colocar el preferred time en 0 dentro de loa RA
>> y así invalidar el prefijo en la red?.
>>
>> Interesante.
>>
>>
>>>   -- Fernando Gont
>>> ---- cut here ----
>>>
>>> Saludos cordiales,
>>
>> Saludos,
>>
>> Alejandro,
>>
>>
>> _______________________________________________
>> LACTF mailing list
>> LACTF at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lactf
>> Cancelar suscripcion: lactf-unsubscribe at lacnic.net
> _______________________________________________
> LACTF mailing list
> LACTF at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lactf
> Cancelar suscripcion: lactf-unsubscribe at lacnic.net




More information about the LACTF mailing list