16:27
11/11/2012

Pojawiła się nowa implementacja ataku DoS poprzez wysyłanie pakietów IPv6 Router Advertisement. Atak unieruchamia systemy zarówno Apple, jak i Microsoftu…

Flood_Router26 i pakiety RA

Aby wykonać atak typu flood RA, wystarczy skorzystać z nowej wersji narzędzia flood_router26, które wchodzi w skład frameworka THC ipv6.

Generowany przez flood_router26 pakiet RA zawiera 17 sekcji “Route Information” oraz 18 sekcji “Prefix Informatinon“, a także jeden źródłowy adres link-layer.

Co powoduje wysłanie pakietu RA? Automatyczną aktualizację konfiguracji sieci na hoście (tablica routingu, konfiguracja adresu IPv6). Jeśli więc możemy wysyłać ok. 100 pakietów RA na sekundę (każdy z kilkunastoma prefiksami), a spodziewany rezultat to zasobożerna aktualizacja informacji o sieci, to łatwo można się domyślić jak zareagują na to systemy…

Reakcja Mac OS X i Windowsa?

Tak zbudowany pakiet ICMP najpierw kładzie interface na Macu, a następnie go “unieruchamia” (ikona kursora zmieniona w tęczowe kółko). Windows XP reaguje na pakiet 100% zużyciem procesora, a Windows 2012 Server …rebootuje się.

Efekt ataku flood_router6 na Windows

Efekt ataku flood_router6 na Windows

Na pocieszenie można jednak dodać, że przy pomocy tego ataku “ubić” można tylko te systemy, które korzystają (mają włączoną) obsługę protokołu IPv6 i to jedynie w obrębie swojej lokalnej domeny broadcastowej.

Co robić, jak żyć?

Ponieważ patcha brak, wyłącz IPv6, jeśli go nie potrzebujesz. Możesz też wyłączyć Router Discovery (ale pozbawi cię to możliwości wykorzystania bezstanowej autokonfiguracji w sieciach IPv6 — nie jest to więc rozwiązanie dla każdego).

netsh interface ipv6 set interface "Local Area Connection" routerdiscovery=disabled

Możesz też rozważyć odpowiednią konfigurację firewalla, która pakiety RA będzie przepuszczała tylko od zaufanego routera (uwaga na spoofing!)

Rekonfiguracja Firewalla pod kątem ochrony przed floodem RA

Rekonfiguracja Firewalla pod kątem ochrony przed floodem RA

…lub wyposażyć swój segment sieci w switch wspierający RA Guard (który nie jest rozwiązaniem idealnym).

PS. Microsoft wie o problemie od dawna, ale nie chce go naprawiać. Warto też wspomnieć, że już poprzednia wersja narzędzia flood_router6 powodowała kilka uciążliwych problemów z Windowsami, ale nie tylko! Atak zawieszał także konsole X-Box oraz PS3…

Przeczytaj także:


32 komentarzy

Dodaj komentarz
  1. Rada, by wyłączyć IPv6 jest (przypominam, że mamy już prawie 2013!) niezbyt mądra. Dodam, że wyłączenie IPv4 magicznie usuwa większość problemów z bezpieczeństwem – dlaczego tego nie polecacie?

    • Liczymy na inteligencję czyteników. Ci którzy wymagają IPv6, niech nie wyłączają. Ci, którzy nie wykorzystują w ogóle IPv6 (zaryzykuję stwierdzenie, że takich ciągle jest więcej) niech wyłączą.

    • Jednak potem użytkownicy nie są gotowi na dualstack. Śmiem twierdzić, że problem obecnie jest znikomy, ponieważ nie ma wielu maszyn enduser dostępnych po IPv6, a serwery są skonfigurowane w sposób statyczny.

      PS. Dlaczego niebezpiecznik.pl nie jest osiągalny po IPv6?

    • IPv4 na IPv6? hmm .. wszelkie pozory anonimowości legną w gruzach… i tylko patrzeć ukazów nakazujących IPv6 ;-)

      ps. czy ktoś słyszał o TOR na v6?? tak bez sprawdzenia pomyślałem teraz..

  2. Bardzo fajny atak :D
    na nieznośnego współlokatora co Cię dręczy muzyką na fulla.
    Podzielilibyście się szczegółami?
    Da się to jakoś wykryć? Jest to jakoś bardziej niebezpieczne dla hardware?
    pozdrawiam

    • Przecież wszystko jest opisane w pierwszym linku z tego posta…

    • od uciszania nieznośnych lokatorów jest policja.

    • metoda “na policję” jest dla prostaków ;]

    • ta, jeśli meloman otworzy policji, to ta może coś zrobi – inaczej to najwyżej wniosek do sądu…jeśli podasz swoje dane. A nocy i tak nie prześpisz…

    • 101hz, obyś trollował.

  3. jest niedziela…. nie działa:P
    a może autor był głodny:P
    będzie trzeba potestować i sprawdzić podatności w sieci…. zawsze musicie dorzucać roboty:P

  4. Cóż, RA to chyba najbardziej idiotyczny pomysł z całego wynalazku, jakim jest IPv6. Ataki zdarzały się już dawniej, chociaż może dawały nie aż tak drastyczne efekty. Z czasem będzie tylko gorzej, jak “tanie” urządzenia zaczną faktycznie wspierać IPv6.

  5. A co z Linuksami ?

  6. witam?
    a co z xp i vista? tez sa podatne?

  7. Witam.
    testowałem to na kubuntu 12.10
    i przyznaje dzielnie się broni :P
    pobrał zaledwie 20 adresów i na tym zatrzymał.
    7 ssała tych adresów ile tylko mogła.
    niestety bardzo wpływa to na łącze.
    zwiesiło mi to całą sieć.

    Dobrze by było gdyby ktoś zaproponował modyfikację tego skryptu, tak, żeby atakowało to tylko wybrany adres ip z sieci lokalnej.
    Atak nie wpłynął na vistę. Nie wiem czemu?
    może ma ipv6 wyłączone.

    pozdrawiam

  8. Dla sprostowania newsa, autor napisał o domenie broadcastowej, w IPv6 niema brodacastów :), chodzi o to że jedynie w obrębie tej samej podsieci a dokładniej adresów link-local

    • nie ma broadcastow, jest multicast do wszystkich ;)

    • taa @.. PK mówi cała prawdę!

  9. A ja korzystam ze starego dobrego IPv4. :)

  10. Ja internet codziennie rano przynoszę w wiadrze, więc się nie boję.

    • Nawet ataków brute-force z użyciem śrubokręta i młotka?

    • A ja mam Internet na karcie dziurkowanej (internet na dyskietce jest mniej bezpieczny).

  11. Przed atakiem można sięzabezpieczyć w dosyć prosty sposób. Należy ograniczyć ilość adresów MAC na porcie, tak aby po przekroczeniu tej liczby port się wyłączył.
    Dla ludzi panicznie bojących się podobnych przygód z IPv6 polecam wyciąć te ustrojstwo.
    Kilka słów o tym popełniłem na http://starelamy.org/2012/11/ratunku-ipv6/

    • a co to zmienia?

    • Każde RA to inny adres MAC.

  12. MS-owi nigdy się nie śpieszy. Patcha, który umożliwiałby ustawienie dns-ów z RA nadal nie można się doczekać.

  13. Nie polecam wyłączać IPv6 pod win >= 2003r2 jeśli nie chcecie mieć ciężkich do zdiagnozowania problemów z serwerem dhcp na nim postawionym. Cuda się panie dzieją, cuda.

  14. u mnie nie działa to na viscie
    nawet z włączonym ipv6
    szkoda.
    macie jakieś sugestie?

    • zmien OS!

  15. Hmm, ciekawe czy to załatwia sprawę w przypadku W7 i WS2008R2
    http://support.microsoft.com/kb/2750841 – Issue 2

  16. […] https://niebezpiecznik.pl/post/atak-ipv6-ra-odcina-mac-os-x-od-sieci-i-restratuje-windowsa/?more Pojawiła się nowa implementacja ataku DoS poprzez wysyłanie pakietów IPv6 Router Advertisement. Atak unieruchamia systemy zarówno Apple, jak i Microsoftu… […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: