IPv6 introduce uno spazio di indirizzamento molto più ampio rispetto a IPv4 e con esso ci sono molte nuove tecniche per creare e mitigare gli attacchi DDoS. Quali sono alcuni esempi di rischi e attenuazioni?
Ad esempio, con lo spazio di indirizzi aggiuntivo di IPv6 c'è un nuovo set di IP Bogon che può essere filtrato?
Esistono prove di lavoro o whitelist per connessioni valide?
Ci sono caratteristiche inerenti a IPv6 che potrebbero influenzare il rischio DDoS (positivamente o negativamente)?
Ricorda che IPv6 non è diverso da IPv4.
Il livello 2 è sempre lo stesso, come lo strato 4 e sopra. Anche i protocolli di routing rimangono gli stessi.
Quindi un buon vecchio attacco "consente di riempire il collegamento internet delle vittime", funziona in modo simile in IPv6, ma con strumenti diversi. Quello che si potrebbe sperare è che gli ISP facciano un lavoro migliore bloccando gli indirizzi spoofed dalla loro rete quando implementano IPv6.
Se sei interessato alla sicurezza di IPv6, dovresti consultare la mailing list di ipv6hackers: link
Gli strumenti da tenere in considerazione includono thc-ipv6 al link e il kit di strumenti IPv6 all'indirizzo link
Gli elenchi dei Bogon sono gestiti dal Team Cymru, proprio come per IPv4: link . non usa elenchi di bogon codificati in modo statico. Saranno obsoleti. Se hai bisogno di elenchi di bogon, assicurati di mantenerli aggiornati e di utilizzare un feed live.
Is there a new set of Bogon IPs that can be filtered?
Sì, ed è espansivo. Il link è un buon inizio per osservare come vengono impostate le allocazioni. Vedi la tabella IPv6ranges .
Is there any proof-of-work or whitelisting possible for valid connections?
Quello per cui non so nulla di utile.
Are there any features inherent to IPv6 that could cause a DDoS risk or be used as a mitigation?
Sì, l'enorme spazio di indirizzamento può presentare un problema localmente in quanto ogni messaggio in arrivo provocherebbe in genere che il router tentasse di trovare un indirizzo L2 per inoltrare il pacchetto a. Ogni indirizzo può risultare in una nuova sollecitazione, quindi questo è un effetto negativo. Vedi link
Leggi altre domande sui tag ipv6 network ddos threat-mitigation