+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Удалённый хост сканирует нашу сеть IPv6

Удалённый хост сканирует нашу сеть IPv6, RouterOS

maznu

Guest

20.09.2017 15:26:00

Несколько дней назад у одного из наших роутеров происходило исчерпание кэша соседей IPv6. Симптомы — периодическая недоступность по IPv6. Я запустил Torch и обнаружил, что кто-то реально сканирует нашу сеть, перебирая подряд адреса в /64, чтобы проверить, кто ответит! Отбрасывать такой трафик просто, но помните: поскольку это атака на исчерпание кэша соседей, защититься обычным фильтром /ipv6 firewall для forward не получится. Нужно что-то вроде такого:

/ipv6 firewall raw add action=drop chain=prerouting src-address-list=shitpit
/ipv6 firewall address-list add list=shitpit address=2001:0db8:85a3:0000:0000:8a2e:0370:7334

Надеюсь, кому-то это поможет при столкновении с этим довольно бесполезным сканированием.

maznu

Guest

31.03.2018 09:47:00

Ещё один кандидат в наш чёрный список сканирования IPv6-адресов: add address=2607:f140:4800::/48 list=shitpit. Судя по всему, это делает один из авторов этой статьи (или кто-то из их группы) из Университета Беркли: https://conferences.sigcomm.org/imc/2017/papers/imc17-final245.pdf.

Они проводят своего рода перечислительное сканирование IPv6-пространства в глубину, из-за чего с их стороны идёт около 100 пакетов в секунду IPv6-трафика. Вскоре это заполняет кэш соседей на небольшом устройстве (даже если его размер выставлен выше 100 тысяч записей), и совсем скоро ваше устройство теряет связь (звучит сигнал тревоги от Nagios).

Я уже связался с abuse-адресом и зарегистрированным адресом в WHOIS, написал одному из исследователей в Твиттере и предложил добавить в раздел 4 их статьи «этические соображения» — чтобы они подумали о возможном влиянии на целевые сети.

Тем временем, может ли MikroTik что-то сделать в RouterOS, чтобы облегчить очистку «ошибочных» или «noarp»-записей в IPv6-кэше соседей? Или хотя бы дать возможность установить более короткий таймаут для неудачных записей по сравнению с успешными?

maznu Guest	#3 0 31.03.2018 09:48:00 Пока я писал письмо их отделу по борьбе с сетевыми нарушениями и троллил их в Твиттере, они уже проверили около 150 тысяч адресов. Веселая жизнь.

pe1chl

Guest

31.03.2018 15:50:00

Эти «исследователи» — самые худшие. С хакером или сканером (те ребята, что ведут список доступных адресов/портов для взломщиков) по крайней мере понятно, что они делают это, чтобы нанести (косвенный) ущерб. А вот эти «исследователи» утверждают, что делают это ради благой цели, хотя при этом причиняют тот же самый вред. Мне кажется, что уже сам факт начала такого рода исследований автоматически снимает с них звание достойных учёных. Настоящий учёный сначала бы изучил ситуацию, определил цель исследования и выяснил возможные нежелательные последствия, только потом приступал к делу.

idlemind

Guest

31.03.2018 16:13:00

Похоже, что MikroTik нужна политика ND, как у всех остальных, внедрённая ещё в 2012 году или раньше. Но это всё равно будет считаться работой над функциями IPv6, а мы знаем, насколько это маловероятно в MikroTik. Возможно, нужен CVE с высокой степенью серьёзности, чтобы привлечь внимание MikroTik и эффективно решить эту проблему. Либо поступайте, как я — наращивайте влияние в сообществе и перестаньте покупать новое оборудование MikroTik, пока они не начнут серьёзно относиться к IPv6.

maznu

Guest

31.03.2018 16:39:00

Только что получил ответ: Привет, Марек! Мы добавили твой префикс […] в наш черный список. Мы распределяем запросы максимально равномерно по маршрутизированным префиксам и случайным образом меняем цели внутри каждого префикса. С уважением, команда 6Gen. Если они действительно равномерно распределяют трафик по маршрутизированным префиксам, значит, чтобы получать такое количество пакетов, они сканируют Интернет примерно на скорости 20-40 миллионов пакетов в секунду. «mikrotik.com имеет IPv6-адрес 2a02:610:7501:1000::2». Вопрос времени, когда исследователи доберутся до него...

pe1chl Guest	#7 0 31.03.2018 16:47:00 Но, конечно, это вряд ли вызовет проблему. Особенно с таким адресом. Проблема возникает только тогда, когда за роутером, который не фильтрует трафик, находятся большие подсети (/64). Обычно хостинг располагается в небольших подсетях (/112), и часто на роутере стоит фаервол, который пропускает трафик только на несколько нужных портов и только на определённые адреса. Когда видишь адреса вроде ::2, это говорит о том, что администратор действительно подумал об этом.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры