IPv6 RH0 (Route Type 0)
CanSecWest 2007やipv6ops,ipv6wg等いろいろなところでRH0問題が話題となっているが
IPv6のルーティングヘッダの設計(RFC2460)がダメ?
(itojun2.0)
IPv4でのloose source routingのように
IPv6でRoute Type 0のヘッダの場合ルーティングを指定できるもので
これがルーティングループを起こすことができDoSに陥ることがあるということであってますか?
http://www.secdev.org/conf/IPv6_RH_security-csw07.pdf
#いまいち理解不足なので間違っていたらおしえてください
ホップ数の上限がないこと、ルーティングヘッダーの数に上限がないことから
非常に危険なかんぢ?
DoSとして
・中間地点でネットワークの帯域を消費させることができる(Bandwidth Amplification)
・中間地点で増幅(遅延による蓄え)させたパケットを出すことができる(Capacitive effect/A flux capacitor)
要求するしくみとしては
・deactivationできるように
・RH typeでのfiltering
・nestの数の制限
・中間アドレスか確実なアドレスか判別
・最終目的アドレスにとどくように
・有効なアドレスか自動判別
推奨行動は
・ルータでの処理停止、フィルタリング
・ホストでの処理停止
backboneは本当にフィルタできるのでしょうか?
いちお方法
Juniper
Not yet, they claim to be busy with it, call your TAC and complain ;)
Linux
# Filter all packets that have RT0 headers
ip6tables -A INPUT -m rt --rt-type 0 -j DROP(of course before accepting anything else ;)
ip6tables -A FORWARD -m rt --rt-type 0 -j DROP
ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP
FreeBSD
One has to upgrade the kernel with at least the following patch in place:
http://www.freebsd.org/cgi/cvsweb.cgi/src/sys/netinet6/route6.c.diff?r1=1.12&r2=1.13
OpenBSD
A source code patch for OpenBSD 4.0-stable can be downloaded from
ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.0/common/012_route6.patch.
A source code patch for OpenBSD 3.9-stable can be downloaded from
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.9/common/022_route6.patch
- -
追記
KAMEプロジェクトにおけるタイプ0経路制御ヘッダ問題の対応
You are interested by the "IPv6 Type 0 Routing Header issue"