[LACNIC/Seguridad] ​Blog post: A Tale of Bad Decisions, Weird Packets, and DoS Attacks

[Fernando Gont]

Hola, Ricardo,

Mil disculpas por la demora en responder. MIs comentarios van entre
lineas....


On 01/19/2017 01:46 PM, Ricardo Peláez Negro wrote:
> Hola Fernando:
> 
> Muy interesante el artículo, ejecuté la prueba contra un servidor de
> prueba y aparentemente el paquete se envía de manera exitosa, sin
> embargo no hay un timeout luego de intentar una nueva conexión con
> $telnet 2001:db8::1 80. Me queda la duda si hay forma de ver un log
> detallado y validar la respuesta del firewall,
> ​con laherramienta icmp6 o alguna otra del kit.

Varias cosas:

1) Obviamente tenes que reemplazar las direcciones IPv6 por la de los
sistemas involucrados. Si queres, decime las direcciones IP(v6) de los
sistemas involucrados, y comentame que comandos estas ejecutando para
revisar que eso esté bien.

2) Para que exista un timeout debe haber un sistema descartando los
fragmentos IPv6. -- ya sea el sistema final, o algun sistema intermediario.



> En el caso hipotético que el ataque sea exitoso, (imagino que en
> diferentes fabricantes de firewall será exitoso), ¿Qué debería hacer el
> usuario final para evitar este tipo de ataques? o simplemente esperar a
> que el fabricante solucione por su cuenta la vulnerabilidad?

Si tenes control sobre sistemas que pueden ser atacados, la mejor opcion
es filtrar los paquetes ICMPv6 "Packet Too Big" que anuncian un
MTU<1280. -- la cuestion aca es que tu firewall puede (o no) soportar el
filtrado con esta granularidad.


Por otro lado, dado que para poder realizar un DoS al atacante le sirve
atacar a cualquiera de los dos extremos de la "conexion", ambos extremos
deberian realizar el filtrado en cuestion. Me explico?

Saludos cordiales,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492