Nel video DefCon "Tre generazioni di attacchi DoS (con partecipazione del pubblico, come vittime)" , il speaker dimostra come è possibile bloccare una varietà di dispositivi invadendo i comandi IPV6 'Join Network'.
2 domande:
1- L'oratore fa un buon lavoro nello spiegare cosa sta succedendo. Per riassumere, una macchina Linux sulla stessa rete locale di una macchina Windows invia migliaia di "router pubblicitari" (RA). Questi annunci vengono solitamente inviati dai dispositivi di routing per comunicare agli altri dispositivi della rete quale prefisso di rete utilizzare e dove instradare le richieste IPv6 esterne. Ogni volta che una macchina riceve un RA, aggiorna le sue voci per quel prefisso di rete (altrimenti scadono) o aggiunge nuovi indirizzi se il prefisso di rete è diverso. La demo mostra una finestra di Windows che aggiunge un nuovo indirizzo IPv6 per ogni RA che riceve, causando il picco del carico della CPU al 100%.
L'oratore dice di aver contattato Microsoft in merito al problema, e hanno affermato di non avere intenzione di risolverlo. Penso che il comportamento mostrato qui sia tecnicamente conforme alle specifiche RFC 1256 [1], motivo per cui non esiste un piano per una correzione. Certo, il sistema operativo potrebbe consentire la configurazione di un numero massimo di indirizzi da configurare (Linux e BSD consentono questa configurazione).
Inoltre, si noti che la CPU della macchina Windows è ancorato al 100%, ma ancora un po 'reattivo. Il sistema operativo non si è arrestato in modo anomalo e mi aspetto che, se lasciato per alcuni minuti (dopo il timeout degli indirizzi IPv6), esso ritorni al normale utilizzo della CPU. Non andrei nemmeno a chiamarlo un attacco "uccidi ogni macchina che riceve i pacchetti" (come sostiene l'oratore nel video).
2- Come impedire che ciò accada a te? La risposta più ovvia è disattivare IPv6 nelle impostazioni della scheda di rete. Se hai bisogno di IPv6, la soluzione è monitorare chi è sulla tua rete locale. Questo attacco non funzionerà su Internet (i pacchetti RA non possono essere instradati attraverso Internet), quindi il tuo avversario deve essere locale. Se sei su una rete che non controlli (ad es. Starbuck), dubito davvero che qualcuno faccia questo attacco. Ci sono così tanti altri attacchi che puoi fare quando sei locale che rendere il computer di qualcuno colpisca il 100% di utilizzo della CPU è semplicemente sciocco.
[1] link
Leggi altre domande sui tag ipv6 network denial-of-service