IPv6 MTU DOS атака
https://stackoverflow.com//questions/20035716
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Можно ли создать атаку DOS в IPv6, используя слишком большие сообщения ICMP Packet?
Так, например, скажем, вы хотите отказать в доступе к кудамую тому, что каким-то образом подделывает пакет ICMP слишком большого сообщения, и установить размер до 68 октетов (минимум для IPv4), чтобы включить любой трафик, который получает определенный узел. Будет ли возможна такая атака?
в RFC 1981 года говорит, что
Узел не должен уменьшать его оценку пути MTU ниже MTU MTU IPv6 MTU. ПРИМЕЧАНИЕ. Узел может получить слишком большое сообщение, сообщая о следующем хоп MTU, который меньше, чем минимальная ссылка IPv6 MTU. В этом случае узел не требуется для уменьшения размера последующих пакетов, отправленных на пути к меню MEPV6 Minimun Link MTU, а скорее должен включать в себя заголовок фрагмента в этих пакетах [IPv6-Spec].
Так что этот случай в RFC 1981 обычно появляется только в том случае, если есть перевод IPv6-IPv4, где узел IPv4 будет иметь MTU меньше, чем 1280. Если мое понимание правильно, если есть туннель IPv6-IPv4 Путь, мы можем значительно замедлить трафик, поскольку узел IPv6-IPv4 фрагмент его.
Однако это не совсем имеет смысл для меня, поскольку IPv6 не допускает фрагментации.
Решение
Да, это возможно.Но вы обнаружите, что люди подумали об этом раньше, так что это не так просто, как вы думаете.Как правило, вам вообще нужно осимлить роутер, близкий к жертве, а Ingress Filter помешает вамот этого.Есть еще несколько препятствий.
Но вы можете атаковать другие хосты на свой Ethernet.
