|
| DDoS og IPv6 Fra : Morton Christiansen |
Dato : 15-08-03 05:10 |
|
Når nu Internettet en gang langt ude i fremtiden kører rent IPv6 vil det da
være med til at forhindre DDoS?
Jeg mener når man nu kan vide "med sikkerhed" hvilken IP og MAC adresse en
pakke kommer fra, kan man så bruge det til noget i forbindelse med DDoS.
F.eks. hvis angrebet er indledt af en virus, der sender pakker mod ofret.
Ender ofret ikke bare op med en liste over adresserne på 5000000 host der
DDoSer ham, sammen med en liste på 100000, der ikke gør det? (antaget at
angrebet camuflerer pakker som forskellige legitime forespørgsler)
Som jeg ser det vil IPv6 da være en fordel når der kun er få noder, der
flooder en, men hvis der er mange er der ikke de store fordele mht. DDoS.
Enige?
Mvh, Morton
| |
Asbjorn Hojmark (15-08-2003)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-08-03 06:51 |
|
On Fri, 15 Aug 2003 06:10:06 +0200, "Morton Christiansen"
<morton@it.edu> wrote:
> Når nu Internettet en gang langt ude i fremtiden kører rent IPv6 vil det da
> være med til at forhindre DDoS?
Næ.
> Jeg mener når man nu kan vide "med sikkerhed" hvilken IP og MAC adresse en
> pakke kommer fra, kan man så bruge det til noget i forbindelse med DDoS.
Hvad får dig til at tro, man "med sikkerhed" kan vide, hvor
pakken kommer fra?
Og hvad får dig til at tro, man kan bruge en liste med adresser
på din angribende maskiner til noget som helst? Typisk vil der jo
i et DDoS-angreb blive brugt 'uskyldige' maskiner, der ikke har
været sikre nok.
-A
--
http://www.hojmark.org/
| |
Morton Christiansen (15-08-2003)
| Kommentar Fra : Morton Christiansen |
Dato : 15-08-03 13:26 |
|
> Hvad får dig til at tro
> Og hvad får dig til at tro
Øh? Skulle meget gerne fremgå af mit indlæg at jeg netop ikke mener disse
lister kan bruges til det helt store, grundet deres størrelse. Kun hvis der
er tale om få zoombies, der flooder en vil de muligvis kunne bruges, da man
så evt. kan tage kontakt til ejerne af de angribende systemer og informerer
dem om infektionen.
I øvrigt mener jeg du er alt for hurtig til at afvise at IPv6 vil have nogen
som helst præventiv effekt mod DDoS. Dette af mange årsager - bl.a. fordi
mange DDoS angreb spoofer afsender adressen, så det ser ud som at den er
sendt fra ofret. Hermed muliggøres en række DDoS angreb der mange ganger
effekten af angrebet - f.eks. som set ved Smurf eller DRDoS angreb. Dette er
blot ét punkt, hvor IPv6 synes at kunne begrænse DDoS effekten.
Mvh.,
Morton
| |
Kasper Dupont (15-08-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 15-08-03 13:53 |
|
Morton Christiansen wrote:
>
> I øvrigt mener jeg du er alt for hurtig til at afvise at IPv6 vil have nogen
> som helst præventiv effekt mod DDoS. Dette af mange årsager - bl.a. fordi
> mange DDoS angreb spoofer afsender adressen, så det ser ud som at den er
> sendt fra ofret.
Det er vel omtrent lige så nemt at spoofe en IPv6 adresse, som en
IPv4 adresse. Og det er vel omtrent lige så nemt at forhindre
spoofing af IPv4 adresser som IPv6 adresser. Endelig er det ret
oplagt, at afsender adressen er spoofet, hvis der står modtagerens
adresse som afsender.
Den væsentligste fordel jeg kan få øje på med IPv6 hvad angår
udbredelsen af orm mm. er, at koncentrationen af brugte adresser
er meget mindre. Hvis du tager en tilfældig IPv4 adresser er der
god chance for, at den er i brug. Hvis du tager en tilfældig IPv6
adresse, er den sandsynligvis ikke i brug. Det vil udgøre en
hæmning for den typiske orm.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.
| |
Asbjorn Hojmark (15-08-2003)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-08-03 20:12 |
|
On Fri, 15 Aug 2003 14:25:53 +0200, "Morton Christiansen"
<morton@it.edu> wrote:
> Øh? Skulle meget gerne fremgå af mit indlæg at jeg netop ikke mener disse
> lister kan bruges til det helt store, grundet deres størrelse.
Prøv lige at læse indlægget igen.
Du skrev, "når man nu kan vide "med sikkerhed" hvilken IP og MAC
adresse [...]" og så spurgte jeg: "Hvad får dig til at tro, at
man kan det"?
> I øvrigt mener jeg du er alt for hurtig til at afvise at IPv6 vil have nogen
> som helst præventiv effekt mod DDoS.
Jeg mener ikke, der er nogen sikkerhedsmæssig fordel ved IPv6
ift. hvad vi kan med IPv4. Det er imidlertid ikke en mening, jeg
er kommet hurtigt til.
> bl.a. fordi mange DDoS angreb spoofer afsender adressen,
Har du en opfattelse af, at man ikke kan spoofe sourceadressen
med IPv6? Det har du i givet fald misforstået.
-A
--
http://www.hojmark.org/
| |
Kaare Fiedler Christ~ (15-08-2003)
| Kommentar Fra : Kaare Fiedler Christ~ |
Dato : 15-08-03 14:04 |
|
Kasper Dupont <kasperd@daimi.au.dk> writes:
> Den væsentligste fordel jeg kan få øje på med IPv6 hvad angår
> udbredelsen af orm mm. er, at koncentrationen af brugte adresser
> er meget mindre. Hvis du tager en tilfældig IPv4 adresser er der
> god chance for, at den er i brug. Hvis du tager en tilfældig IPv6
> adresse, er den sandsynligvis ikke i brug. Det vil udgøre en
> hæmning for den typiske orm.
Tjah. Det vil vel stadig være ret let at gætte på hvilke adresser der
er i brug. Man starter jo nok fra en ende af i de forskellige
segmenter. Men det er da rigtigt at det bliver lidt sværere.
Hilsen
Kåre
--
Kaare Fiedler Christiansen fiedler@daimi.au.dk
2b|~2b == -1
| |
Hroi Sigurdsson (18-08-2003)
| Kommentar Fra : Hroi Sigurdsson |
Dato : 18-08-03 14:14 |
|
Kaare Fiedler Christiansen wrote:
> Tjah. Det vil vel stadig være ret let at gætte på hvilke adresser der
> er i brug. Man starter jo nok fra en ende af i de forskellige
> segmenter. Men det er da rigtigt at det bliver lidt sværere.
På hvert enkelt subnet har du lidt over 4 milliarder gange flere
adresser end hele IPv4 adresserummet, så det kræver _meget_ mere held at
ramme en adresse på aktivt udstyr. De flest maskiners IPv6-adresse vil
være udledt vha. eui-64 som er en adresse baseret på MAC eller RFC 3041
hvor der genereres en tilfældig adresse som skifter hele tiden (default
i Windows XP).
--
Hroi
| |
Peter Makholm (15-08-2003)
| Kommentar Fra : Peter Makholm |
Dato : 15-08-03 08:42 |
|
"Morton Christiansen" <morton@it.edu> writes:
> Jeg mener når man nu kan vide "med sikkerhed" hvilken IP og MAC adresse en
> pakke kommer fra, kan man så bruge det til noget i forbindelse med DDoS.
Du ved ikke mere med sikkerhed noget om MAC-adressen med IPv6 end med
IPv4. Det er korrekt at IPv6 *kan* lave noget autoconfigurering på
baggrund af en netværkenheds MAC-adresse, men det er ikke nødvenidgt.
--
Peter Makholm | Wisdom has two parts:
peter@makholm.net | 1) having a lot to say, and
http://hacking.dk | 2) not saying it
| |
Hroi Sigurdsson (18-08-2003)
| Kommentar Fra : Hroi Sigurdsson |
Dato : 18-08-03 14:29 |
|
Morton Christiansen wrote:
> Når nu Internettet en gang langt ude i fremtiden kører rent IPv6 vil det da
> være med til at forhindre DDoS?
Nej.
> Jeg mener når man nu kan vide "med sikkerhed" hvilken IP og MAC adresse en
> pakke kommer fra, kan man så bruge det til noget i forbindelse med DDoS.
Du kan ikke vide noget med mere sikkerhed end ved IPv4. Man kan håbe på
at når folk har rullet ipv6 ud at de også har lært at egress-filtrere
ordentligt.
> F.eks. hvis angrebet er indledt af en virus, der sender pakker mod ofret.
> Ender ofret ikke bare op med en liste over adresserne på 5000000 host der
> DDoSer ham, sammen med en liste på 100000, der ikke gør det? (antaget at
> angrebet camuflerer pakker som forskellige legitime forespørgsler)
Jeg ved ikke hvilke lister du refererer til. Den eneste fordel jeg kan
komme i tanke om ved IPv6 ifbm. filtrering er at subnets som regel er på
64 bits og at man derfor kan blokere en /64 uden at være bange for at
andre subnets blokeres unødvendigt.
Hvis du vil blokere en bestemt organisation kræver det også kun en
blokering på /48 eller /32 i grove tilfælde, i stedet for at skulle slå
alle deres forskellige fragmenterede ranges op i whois/BGP og generere
en liste baseret på det. Hvis angriberen er anonym og bruger
kompromitterede maskiner spredt over hele nettet har du dog samme
vanskelighed ved filtrering som ved IPv4.
> Som jeg ser det vil IPv6 da være en fordel når der kun er få noder, der
> flooder en, men hvis der er mange er der ikke de store fordele mht. DDoS.
Kan du uddybe?
--
Hroi
| |
Andreas Plesner Jaco~ (18-08-2003)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 18-08-03 21:30 |
|
In article <3f40d4ab$0$26585$7bd3bdf0@nntp04>, Hroi Sigurdsson wrote:
>
> Man kan håbe på at når folk har rullet ipv6 ud at de også har lært at
> egress-filtrere ordentligt.
Hahaha. I dine allervildeste og vådeste drømme.
--
Andreas Plesner Jacobsen | Why are you so hard to ignore?
| |
|
|