abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 23:33 | Komunita

Lidé ze společnosti Corellium se včera na Twitteru pochlubili screenshotem Ubuntu na Apple Siliconu aneb zprovoznili Ubuntu na počítači Apple s novým ARM procesorem M1. CTO jej už používá k vývoji ve svém herním křesle s 49 palcovým monitorem. Dnes byly na blogu Corellium publikovány detaily a pro případné zájemce i návod a obraz ke stažení. Upravili obraz Ubuntu pro Raspberry Pi.

Ladislav Hagara | Komentářů: 4
včera 13:22 | IT novinky

Rodina počítačů Raspberry Pi se rozšířila o jednočipový počítač Raspberry Pi Pico v ceně 4 dolary s vlastním procesorem RP2040. Představení na YouTube.

Ladislav Hagara | Komentářů: 10
20.1. 22:33 | Komunita

Společnost Red Hat na svém blogu oznámila, že Red Hat Enterprise Linux (RHEL) bude možné provozovat zdarma na 16 serverech.

Ladislav Hagara | Komentářů: 25
20.1. 14:55 | Bezpečnostní upozornění

Pod společným názvem DNSpooq byly zveřejněny informace o 7 bezpečnostních chybách v DNS caching a DHCP serveru dnsmasq. Jedná se o cache poisoning (CVE-2020-25686, CVE-2020-25684, CVE-2020-25685) a buffer overflow (CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681). Jejich kombinací lze dosáhnout závažnosti CVSS 9.8. Chyby jsou opraveny v dnsmasq 2.83.

Ladislav Hagara | Komentářů: 2
20.1. 13:33 | Nová verze

Byla vydána nová stabilní verze 19.07.6 (Changelog) linuxové distribuce primárně určené pro routery a vestavěné systémy OpenWrt (Wikipedie). Řešena je také řada bezpečnostních chyb. Především v dnsmasq (DNSpooq).

Ladislav Hagara | Komentářů: 0
20.1. 08:00 | Nová verze

Google Chrome 88 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 88.0.4324.96 přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 36 bezpečnostních chyb. Nálezci nejvážnější z nich (CVE-2021-21117) bylo vyplaceno 30 000 dolarů.

Ladislav Hagara | Komentářů: 12
20.1. 07:00 | Nová verze

Byla vydána nová verze 4.4.2 svobodného programu pro skicování, malování a úpravu obrázků Krita (Wikipedie). Přehled novinek i s náhledy v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
19.1. 14:33 | Komunita

Vedle Hectora "marcan" Martina a Asahi Linuxu portují Linux na Apple Silicon aneb na počítače Apple s novým ARM procesorem M1 také lidé ze společnosti Corellium. V sobotu se na Twitteru pochlubili bootováním Linuxu na M1. Dnes zveřejnili zdrojové kódy (Preloader-M1 a Linux-M1).

Ladislav Hagara | Komentářů: 56
19.1. 11:33 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje na kritické zranitelnosti v Orbit Fox pluginu pro WordPress. Správci CMS WordPress, kteří mají nainstalované rozšíření Orbit Fox, by měli provést co nejdříve upgrade rozšíření na poslední verzi 2.10.3. Dvě nedávno nalezené zranitelnosti, stored XSS a možnost eskalace oprávnění, umožňují útočníkovi kompletní ovládnutí webové stránky.

Ladislav Hagara | Komentářů: 0
19.1. 11:11 | Zajímavý projekt

bladeRF-wiphy je open source IEEE 802.11 / Wi-Fi kompatibilní SDR VHDL modem pro bladeRF 2.0 micro xA9. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv2.

Ladislav Hagara | Komentářů: 0
Jestliže používáte distribuci CentOS, kterou náhradu plánujete vzhledem k oznámenému ukončení vydávání?
 (28%)
 (3%)
 (2%)
 (22%)
 (0%)
 (2%)
 (42%)
Celkem 180 hlasů
 Komentářů: 3, poslední 10.1. 13:01
Rozcestník

Dotaz: Příchozí IPv6 ping - proč?

2.10.2017 10:47 Tonda
Příchozí IPv6 ping - proč?
Přečteno: 667×
Přílohy:
Zdravím, chtěl bych se zeptat, zda mi někdo nevysvětlí smysl následujícího jevu:
Na routeru jsem si pustil zachytávání příchozím IPv6 ICMP paketů pro ping. Jednou za čas (za pár dní) mi přijde z ničeho nic větší počet žádostí o ping. Nepřišel jsem ale na to proč, jaký to má smysl. Je to součást protokolu IPv6? Nějaké funkčnost?
Ještě bych tak pochopil jeden ping z jedné adresy. Ale vždycky to přijde postupně z několika různých adres a ve větším počtu. Cílem nejsou náhodné adresy z mého prefixu a vždy konkretní počítač (adresa). A trvá to různě dlouho - od pár sekund, do pár hodin.
Na mém počítači běží DNS resolver, NTP klient a dělá aktualize (Fedora distribuce). A má aktivní Privacy Extensions.
Pro názornost jsem přiložil 3 různé výpisy.
Zde je kousek jednoho z nich:
13:04:07.320631 IP6 2607:ae80:1::238 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 50220, length 8
13:04:07.620313 IP6 2607:ae80:5::238 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 41893, length 8
13:04:08.078625 IP6 2607:ae80:4::9 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 54653, length 8
13:04:08.157497 IP6 2607:ae80:4::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 52873, length 8
13:04:08.160692 IP6 2607:ae80:1::18 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 32774, length 8
13:04:08.200693 IP6 2607:ae80:5::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 40980, length 8
13:04:08.203472 IP6 2607:ae80:2::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 12210, length 8
13:04:08.203473 IP6 2607:ae80:1::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 18598, length 8
13:04:08.213098 IP6 2607:ae80::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 17627, length 8
13:04:08.236707 IP6 2607:ae80::18 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 41062, length 8
13:04:08.246436 IP6 2607:ae80:1::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 9663, length 8
13:04:14.175262 IP6 2607:ae80:5::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 43804, length 8
13:04:14.190849 IP6 2607:ae80:1::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 21950, length 8
13:04:20.167644 IP6 2607:ae80:5::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 46663, length 8
13:04:20.183638 IP6 2607:ae80:1::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 25234, length 8

Odpovědi

2.10.2017 11:32 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Ruzne scany, boti rekl bych "normalni" provoz.
4.10.2017 21:38 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Zeptej se na <dom@freewheel.tv>.
5.10.2017 10:13 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Tuhle adresu neznám. Je to vtip/ironie?

Mě to zajímá z toho důvodu, že ty příchozí ping pakety chodí vždy na aktuální a v tu chvíli platnou dočasnou(!) adresu (viz Privacy Extensions). Ale jiné PING ani TCP-SYN pakety mi nepřicházejí - tzn. že nejde o scan mého adresního prostoru.
Zatím mě napadá jen to, že tu dočasně platnou adresu mého zařízení "vykecá" nějaká služba, která tam běží. A těch není moc. Jak už jsem psal, pouze DNS resolver, NTP klient, Kodi si občas hledá aktualizace a pak aktualizace systému.

Není to nic kritického z čeho bych nespal. Jen mi to přišlo divné. Pochopil bych občasný jeden ping nebo nějaký scan portů. Ale série pingů z různých adres? K čemu to je?
5.10.2017 10:16 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
A ještě bych dodal, že když jsem hledal u 3 vybraných zdrojových adres majitele (Whois), tak jsem našel 3 různé instituce.
5.10.2017 12:55 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Co se stane kdyz na ten ICMPv6 echo request korektne odpovis? Nastaveni firewallu mas jake?
5.10.2017 13:51 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Na IPv6 nic neblokuji. Odpovědi by se měli zcela korektně vracet.
Pomocí tcpdump chytám jen příchozí icmp-request a příchozí tcp-syn paket (pro port<1024). Takže odpovědi v záznamu nejsou, ale měli by odcházet.
5.10.2017 14:25 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Tam je nejaky prichozi TCP syn? Na jakem portu? Jak vypada kompletni komunikace?
5.10.2017 14:46 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Tím bylo myšleno nastavení filtru pro tcpdump. Příchozí data jsou pouze ten ping. Nic jiného. Viz přiložený soubor v prvním příspěvku.
Kompletní komunikaci nezachytávám, byla by to spousta dat běžného provozu.
Prvotní myšlenka byla taková, že mě zajímalo, jestli po IPv6 chodí nějaký ten scan portů nebo pokusy o spojení na ssh apod. Tak jsem si pustil tcpdump na routeru a aby to moc nerostlo do velikosti, tak jsem tam dal do filtru jen ICMPv6 request + TCP SYN pakety pro příchozí data.
5.10.2017 14:53 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Zastav vlastni komunikaci o ktere vis a dumpni komplet prvnich 1000 od nahozeni rozhrani a pak se muzeme bavit o tom co se deje. Na nejekam predvybranem osekanem vyberu muzes maximalne hadat..
5.10.2017 19:54 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?

To je kontakt na majitele adres uvedených v dotazu. Jen on ví, proč to dělá.

Ve třech přílohách jsou tři bloky adres. Jeden od reklamní agentury, druhý od Facebooku a třetí od nějaké firmy na Ukrajině.

Protože dotazy vždy chodí z jednoho malého bloku a na platnou dočasnou adresu, nejedná se o nějaký slepý distribuovaný útok či scan, ale naopak je velmi pravděpodobné, že koreluje právě s komunikací, která vychází z tvého stroje. Třeba když brouzdáš po webu, tak v mají tvoji adresu z DNS a HTTP klienta. Kód Facebooku je na každé webové stránce, reklamní agentura má vlastní reklamní síť a Ukrajina, kdo ví.

Může to být nějaká nová marketingová akce, třeba sledují, jak dlouho máš zapnutý počítač, aby věděly, kdy jsi doma a kdy ne, nebo testují, jestli se jedná o mobil, který je pořád připojený, nebo o pracovní stanici v práci nebo doma. Dneska všichni chtějí cílenou reklamu. Nebo si mohli všichni koupit nějaké děravé udělátko, někdo ho na dálku ovládl a schovává za jejich adresy. Nebo si někdo zkouší do ICMP packetů uložit data (kdysi se takový pokus dělal).

To jsou všechno jenom spekulace. Nejlepší bude se jich zeptat, případě sledovat i svůj provoz (třeba na odchozí komunikaci na tyto bloky). Jinak ano, normální to není.

5.10.2017 20:10 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?

A právě mě napadlo geniální využití. Přemýšlel jsem proč IPv6 a proč ICMP.

ICMP je bezstavový, takže se dá podvrhnout zdrojová adresa. IPv6 zase potřebuje funkční ICMP (kvůli path MTU discovery), takže echo request/response se často neblokuje. Takže by se dala postavit docela funkční síť nad ICMPv6, kde odesílatel by do zdrojové adresy napsal adresu zamýšleného adresáta a zprávu schoval dovnitř ICMPv6 packetu a ten odeslal na nějakou cizí existující IPv6 adresu. Třeba na vaši. Vy byste pak na ni odpověděl (do odpovědi se kopíruje příchozí packet) a odpověď by přišla skutečně zamýšlenému adresátu. Ten by z něj vybalil původní zprávu. Více adres se stejného bloku je pravděpodobně jediný stroj, na který se směruje celý blok a různě adresy se používají pro demultiplexování mezi uživatele oné sítě (něco jako u IPv4 NAPT se střídají porty).

Sice nevím, k čemu by to bylo dobré. Ale fungovat by to mělo. Možná pokus o nějaký mixnet.

6.10.2017 13:45 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Na skrytou komunikaci to nevypadá.
Každá ta série pingů z jednoho prefixu vypadá nachlup stejně a to tak, že buď za hlavičkou nemá žádná data nebo jednou byly 4 stále stejné byty a nebo v jiném případě tam byl stále stejný počet nul. Jediné, co se mění, je kontrolní součet + nějaké id číslo + sekvenční číslo.
6.10.2017 13:55 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Za sledované období (1.9.-1.10.) mi ta série pingů přišla celkem 5x a to na 2 stroje. Jeden je router (DNS, NTP, aktualizace OS) a druhý je pracovní pc (web, mail, steam klient, aktualizace OS). Jediné co mají společné, jsou aktualizace systému. A nebo z jiného pohledu - že prostě oba komunikují s internetem.
Teďka už 6 dní nic nepřišlo, tak není co zkoumat. Jestli se to zase objeví, tak zkusím chytit celou komunikaci.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.