[LACNIC/Seguridad] TCP idlle scans en IPv6

Fernando Gont fgont en si6networks.com
Vie Oct 18 15:29:47 BRT 2013


Hola, Iván,

On 10/18/2013 10:02 AM, Iván Arce wrote:
> Abstract de una charla a presentarse la conferencia de seguridad
> informática Hack.lu el próximo jueves.
> 
> Esperemos que el autor haya leido
> 
> http://tools.ietf.org/id/draft-ietf-6man-predictable-fragment-id-00.txt

mmm... o que el comité revisor lo haya leído.

Lo curioso del caso es que en a menos una o dos conferencias me
rebotaron trabajos con contenido nuevo, y aprovaron otras charlas con
contenidos que yo habia publicado hace años.

En realidad, esto funcionó contra mi mismo: Una vuelta envié a una
conferencia el abstract de una charla que habia dado hace años (no sé ni
porqué), y una charla con contenido nuevo, que nunca había presentado.
-- me rebotarn el materia nuevo, y me aceptaron el viejo. (wtf!? :-) )



> The most stealthy port scan technique in IPv4 is the TCP Idle Scan,
> which hides the identity of the attacker. With this technique, the
> attacker spoofs messages of a third computer, the so-called idle host,
> and utilizes the identification value in the IPv4 header to see the
> results of the scan.

Este contenido lo "descubrí" inicialmente en el 2010 (*), y fue
publicado de manera completa al menos en 2012
(<http://www.si6networks.com/presentations/hip2012/fgont-hip2012-hacking-ipv6-networks-training.pdf>
-- diapos 76-80).

(*) Terminando de preparar las diapositivas para un curso de seguridad
IPv6, en medio de la madrugada, se me planteo a inquietud de como
implementar esto en v6. -- sin embargo, a la hora de dar el curso,
todavía me quedaba soucionar como hacer que el zombie responda con un
paquete fragmentado
(<http://www.si6networks.com/presentations/hip2011/fgont-hip2011-hacking-ipv6-networks.pdf>,
diapos 43-48). Dias mas tarde, durante una charla aburrida de la Nuit du
Hack, se me ocurrio lo del ICMPv6 PTB, y con un flaco copado que había
sido asistente al curso, probamos la idea con scappy.


Eventualmente publiqué
<http://tools.ietf.org/html/draft-gont-6man-predictable-fragment-id-00>
(hoy
<http://tools.ietf.org/id/draft-ietf-6man-predictable-fragment-id-00.txt>),
así como
<http://tools.ietf.org/html/draft-gont-6man-ipv6-atomic-fragments-00>
(hoy RFC 6946) -- intimamente relacionado con la idea.


> After discovering how to conduct the TCP Idle Scan in IPv6, 21 different
> operating systems and versions have been analyzed regarding their
> properties as idle host. 

Esto se puede hacer con frag6 del IPv6 toolkit
(<http://www.si6networks.com/tools/ipv6toolkit>), mediante:

# frag6 -d TARGET --frag-id-policy

:-)



> Among those, all nine tested Windows systems
> could be used as idle host. This shows that the mistake of IPv4 to use
> predictable identification fields is being repeated in IPv6. Compared to
> IPv4, the idle host in IPv6 is also not expected to remain idle, but
> only not to send fragmented packets. To defend against this bigger
> threat, the article also introduces short-term defenses for
> administrators as well as long term defenses for vendors.

Ah buenoooo.... acá es donde me terminé de indignar :-)

Saludos, y gracias por el "heads up"!
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492







Más información sobre la lista de distribución Seguridad