•  21-12-2019
  •  | 
  •  

Question

est-il possible de créer une attaque DOS dans IPv6 en utilisant des messages trop gros du paquet ICMP?

Donc, par exemple, indiquez que vous souhaitez refuser l'accès à quelque part en parillant d'une manière d'une manière d'une manière utile d'un paquet ICMP trop gros message et de définir la taille sur 68 octets (le minimum pour IPv4), pour accélérer tout trafic qu'un nœud particulier reçoit. Ce type d'attaque serait-il possible?

dans RFC 1981, il dit

Un nœud ne doit pas réduire son estimation du chemin MTU sous la liaison minimale IPv6 MTU. Remarque: un nœud peut recevoir un paquet trop gros message signalant un MTU NEXT-HOP MATU inférieur au MTU de liaison minimale IPv6. Dans ce cas, le nœud n'est pas tenu de réduire la taille des paquets suivants envoyés sur le chemin d'accès à moins que le MTU de liaison MINIMUN IPv6, mais il doit plutôt inclure un en-tête de fragment dans ces paquets [IPv6-Spec].

Ce cas dans la RFC 1981 ne se produirait normalement que dans le cas où il existe une traduction IPv6-IPv4 où un nœud IPv4 aurait un MTU plus petit que 1280. Si ma compréhension est correcte, s'il y a un tunnel IPv6-IPv4 le long Le chemin, nous pouvons ralentir de manière significative le trafic car le nœud IPv6-IPv4 le fragmenterait.

Cependant, cela n'avait pas eu de sens pour moi puisque IPv6 ne permet pas la fragmentation.

Était-ce utile?

La solution

Oui, c'est possible.Mais vous constaterez que les gens y ont pensé avant, donc ce n'est pas aussi facile que vous pourriez penser.Vous aurez généralement besoin d'imiter un routeur proche de la victime et d'un filtre d'entrée vous éviterade le faire.Il y a quelques points de plus.

Mais vous pouvez attaquer d'autres hôtes sur votre Ethernet.

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top