Portál AbcLinuxu, 17. říjen 2017 20:57

Dotaz: Příchozí IPv6 ping - proč?

2.10. 10:47 Tonda
Příchozí IPv6 ping - proč?
Přečteno: 559×
Odpovědět | Admin
Přílohy:
Zdravím, chtěl bych se zeptat, zda mi někdo nevysvětlí smysl následujícího jevu:
Na routeru jsem si pustil zachytávání příchozím IPv6 ICMP paketů pro ping. Jednou za čas (za pár dní) mi přijde z ničeho nic větší počet žádostí o ping. Nepřišel jsem ale na to proč, jaký to má smysl. Je to součást protokolu IPv6? Nějaké funkčnost?
Ještě bych tak pochopil jeden ping z jedné adresy. Ale vždycky to přijde postupně z několika různých adres a ve větším počtu. Cílem nejsou náhodné adresy z mého prefixu a vždy konkretní počítač (adresa). A trvá to různě dlouho - od pár sekund, do pár hodin.
Na mém počítači běží DNS resolver, NTP klient a dělá aktualize (Fedora distribuce). A má aktivní Privacy Extensions.
Pro názornost jsem přiložil 3 různé výpisy.
Zde je kousek jednoho z nich:
13:04:07.320631 IP6 2607:ae80:1::238 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 50220, length 8
13:04:07.620313 IP6 2607:ae80:5::238 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 41893, length 8
13:04:08.078625 IP6 2607:ae80:4::9 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 54653, length 8
13:04:08.157497 IP6 2607:ae80:4::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 52873, length 8
13:04:08.160692 IP6 2607:ae80:1::18 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 32774, length 8
13:04:08.200693 IP6 2607:ae80:5::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 40980, length 8
13:04:08.203472 IP6 2607:ae80:2::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 12210, length 8
13:04:08.203473 IP6 2607:ae80:1::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 18598, length 8
13:04:08.213098 IP6 2607:ae80::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 17627, length 8
13:04:08.236707 IP6 2607:ae80::18 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 41062, length 8
13:04:08.246436 IP6 2607:ae80:1::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 9663, length 8
13:04:14.175262 IP6 2607:ae80:5::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 43804, length 8
13:04:14.190849 IP6 2607:ae80:1::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 21950, length 8
13:04:20.167644 IP6 2607:ae80:5::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 46663, length 8
13:04:20.183638 IP6 2607:ae80:1::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 25234, length 8
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

2.10. 11:32 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Ruzne scany, boti rekl bych "normalni" provoz.
4.10. 21:38 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zeptej se na <dom@freewheel.tv>.
5.10. 10:13 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Tuhle adresu neznám. Je to vtip/ironie?

Mě to zajímá z toho důvodu, že ty příchozí ping pakety chodí vždy na aktuální a v tu chvíli platnou dočasnou(!) adresu (viz Privacy Extensions). Ale jiné PING ani TCP-SYN pakety mi nepřicházejí - tzn. že nejde o scan mého adresního prostoru.
Zatím mě napadá jen to, že tu dočasně platnou adresu mého zařízení "vykecá" nějaká služba, která tam běží. A těch není moc. Jak už jsem psal, pouze DNS resolver, NTP klient, Kodi si občas hledá aktualizace a pak aktualizace systému.

Není to nic kritického z čeho bych nespal. Jen mi to přišlo divné. Pochopil bych občasný jeden ping nebo nějaký scan portů. Ale série pingů z různých adres? K čemu to je?
5.10. 10:16 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
A ještě bych dodal, že když jsem hledal u 3 vybraných zdrojových adres majitele (Whois), tak jsem našel 3 různé instituce.
5.10. 12:55 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Co se stane kdyz na ten ICMPv6 echo request korektne odpovis? Nastaveni firewallu mas jake?
5.10. 13:51 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Na IPv6 nic neblokuji. Odpovědi by se měli zcela korektně vracet.
Pomocí tcpdump chytám jen příchozí icmp-request a příchozí tcp-syn paket (pro port<1024). Takže odpovědi v záznamu nejsou, ale měli by odcházet.
5.10. 14:25 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Tam je nejaky prichozi TCP syn? Na jakem portu? Jak vypada kompletni komunikace?
5.10. 14:46 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Tím bylo myšleno nastavení filtru pro tcpdump. Příchozí data jsou pouze ten ping. Nic jiného. Viz přiložený soubor v prvním příspěvku.
Kompletní komunikaci nezachytávám, byla by to spousta dat běžného provozu.
Prvotní myšlenka byla taková, že mě zajímalo, jestli po IPv6 chodí nějaký ten scan portů nebo pokusy o spojení na ssh apod. Tak jsem si pustil tcpdump na routeru a aby to moc nerostlo do velikosti, tak jsem tam dal do filtru jen ICMPv6 request + TCP SYN pakety pro příchozí data.
5.10. 14:53 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Zastav vlastni komunikaci o ktere vis a dumpni komplet prvnich 1000 od nahozeni rozhrani a pak se muzeme bavit o tom co se deje. Na nejekam predvybranem osekanem vyberu muzes maximalne hadat..
5.10. 19:54 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?

To je kontakt na majitele adres uvedených v dotazu. Jen on ví, proč to dělá.

Ve třech přílohách jsou tři bloky adres. Jeden od reklamní agentury, druhý od Facebooku a třetí od nějaké firmy na Ukrajině.

Protože dotazy vždy chodí z jednoho malého bloku a na platnou dočasnou adresu, nejedná se o nějaký slepý distribuovaný útok či scan, ale naopak je velmi pravděpodobné, že koreluje právě s komunikací, která vychází z tvého stroje. Třeba když brouzdáš po webu, tak v mají tvoji adresu z DNS a HTTP klienta. Kód Facebooku je na každé webové stránce, reklamní agentura má vlastní reklamní síť a Ukrajina, kdo ví.

Může to být nějaká nová marketingová akce, třeba sledují, jak dlouho máš zapnutý počítač, aby věděly, kdy jsi doma a kdy ne, nebo testují, jestli se jedná o mobil, který je pořád připojený, nebo o pracovní stanici v práci nebo doma. Dneska všichni chtějí cílenou reklamu. Nebo si mohli všichni koupit nějaké děravé udělátko, někdo ho na dálku ovládl a schovává za jejich adresy. Nebo si někdo zkouší do ICMP packetů uložit data (kdysi se takový pokus dělal).

To jsou všechno jenom spekulace. Nejlepší bude se jich zeptat, případě sledovat i svůj provoz (třeba na odchozí komunikaci na tyto bloky). Jinak ano, normální to není.

5.10. 20:10 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?

A právě mě napadlo geniální využití. Přemýšlel jsem proč IPv6 a proč ICMP.

ICMP je bezstavový, takže se dá podvrhnout zdrojová adresa. IPv6 zase potřebuje funkční ICMP (kvůli path MTU discovery), takže echo request/response se často neblokuje. Takže by se dala postavit docela funkční síť nad ICMPv6, kde odesílatel by do zdrojové adresy napsal adresu zamýšleného adresáta a zprávu schoval dovnitř ICMPv6 packetu a ten odeslal na nějakou cizí existující IPv6 adresu. Třeba na vaši. Vy byste pak na ni odpověděl (do odpovědi se kopíruje příchozí packet) a odpověď by přišla skutečně zamýšlenému adresátu. Ten by z něj vybalil původní zprávu. Více adres se stejného bloku je pravděpodobně jediný stroj, na který se směruje celý blok a různě adresy se používají pro demultiplexování mezi uživatele oné sítě (něco jako u IPv4 NAPT se střídají porty).

Sice nevím, k čemu by to bylo dobré. Ale fungovat by to mělo. Možná pokus o nějaký mixnet.

6.10. 13:45 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Na skrytou komunikaci to nevypadá.
Každá ta série pingů z jednoho prefixu vypadá nachlup stejně a to tak, že buď za hlavičkou nemá žádná data nebo jednou byly 4 stále stejné byty a nebo v jiném případě tam byl stále stejný počet nul. Jediné, co se mění, je kontrolní součet + nějaké id číslo + sekvenční číslo.
6.10. 13:55 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Za sledované období (1.9.-1.10.) mi ta série pingů přišla celkem 5x a to na 2 stroje. Jeden je router (DNS, NTP, aktualizace OS) a druhý je pracovní pc (web, mail, steam klient, aktualizace OS). Jediné co mají společné, jsou aktualizace systému. A nebo z jiného pohledu - že prostě oba komunikují s internetem.
Teďka už 6 dní nic nepřišlo, tak není co zkoumat. Jestli se to zase objeví, tak zkusím chytit celou komunikaci.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.