Domanda
È possibile creare un attacco DOS in IPv6 utilizzando i messaggi ICMP Packet Too Big?
Quindi, ad esempio, afferma che si desidera negare l'accesso a un posto da qualche parte in qualche modo spoofing di un pacchetto ICMP troppo grande messaggio e impostare la dimensione su 68 ottetti (il minimo per IPv4), per accelerare qualsiasi traffico che un particolare nodo riceve. Questo tipo di attacco sarebbe possibile?
in RFC 1981 dice
.Un nodo non deve ridurre la stima del percorso MTU al di sotto del MTU minimo IPv6 MTU. Nota: un nodo può ricevere un pacchetto Troppo grande messaggio che segnala un MTU successivo-hop che è inferiore al MTU minimo IPv6 MTU. In tal caso, il nodo non è tenuto a ridurre la dimensione dei pacchetti successivi inviati sul percorso in meno rispetto al MTU MINIMUN MINIMUN IPv6, ma piuttosto deve includere un'intestazione del frammento in quei pacchetti [IPv6-Spec].
Quindi questo caso in RFC 1981 si verifica normalmente nel caso in cui vi sia una traduzione IPv6-IPv4 in cui un nodo IPv4 avrebbe un MTU più piccolo di 1280. Se la mia comprensione è corretta, tuttavia, se c'è un tunnel IPv6-IPv4 Il percorso, possiamo rallentare in modo significativo il traffico poiché il nodo IPv6-IPv4 si framlerebbe.
Tuttavia, questo non ha senso per me da quando IPv6 non consente la frammentazione.
Soluzione
Sì, è possibile.Ma scoprirai che le persone ci hanno pensato prima, quindi non è così facile come si potrebbe pensare.Generalmente dovrai impersonare un router vicino alla vittima e un filtro di ingresso ti impediràdal farlo.Ci sono alcuni altri ostacoli.
Ma puoi attaccare altri host sul tuo Ethernet.