En el video de DefCon "Tres generaciones de ataques DoS (con participación del público, como víctimas)" , El orador demuestra cómo es posible bloquear una variedad de dispositivos inundándolos con los comandos de 'Únete a la red' de IPV6.
2 preguntas:
1- El orador hace un buen trabajo explicando lo que está sucediendo. En resumen, una máquina Linux en la misma red local que una máquina con Windows envía miles de "anuncios de enrutador" (RA). Estos anuncios generalmente se envían por dispositivos de enrutamiento para indicar a otros dispositivos en la red qué prefijo de red usar y dónde enrutar las solicitudes externas de IPv6. Cada vez que una máquina recibe un RA, actualiza sus entradas para ese prefijo de red (de lo contrario, se apaga), o agrega nuevas direcciones si el prefijo de red es diferente. La demostración muestra un cuadro de Windows que agrega una nueva dirección IPv6 para cada RA que recibe, lo que hace que la carga de la CPU se incremente al 100%.
El orador dice que contactó a Microsoft sobre el problema y dijeron que no tenían planes para solucionarlo. Creo que el comportamiento que se muestra aquí depende técnicamente de la especificación RFC 1256 [1], por lo que no hay un plan para una solución. Por supuesto, el sistema operativo podría permitir la configuración de un número máximo de direcciones para configurar (Linux y BSD permiten esta configuración).
También, tenga en cuenta que la CPU de la máquina de Windows está asignada al 100%, pero aún responde un poco. El sistema operativo no se ha bloqueado, y espero que si se deja por unos minutos (una vez que las direcciones IPv6 se agotan), volverá a la utilización normal de la CPU. No me atrevería a llamarlo un ataque "matar a todas las máquinas que reciben los paquetes" (como afirma el orador en el video).
2- ¿Cómo evitar que esto te suceda? La respuesta más obvia es desactivar IPv6 en la configuración del adaptador de red. Si necesita IPv6, entonces la solución es monitorear quién está en su red local. Este ataque no funcionará a través de Internet (los paquetes RA no se pueden enrutar a través de Internet), por lo que su adversario debe ser local. Si estás en una red que no controlas (por ejemplo, Starbuck), realmente dudo que alguien esté haciendo este ataque. Hay tantos otros ataques que puedes hacer cuando eres local que hacer que la computadora de alguien llegue al 100% del uso de la CPU es una tontería.
[1] enlace
Lea otras preguntas en las etiquetas network denial-of-service ipv6