abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
5.3. 20:22 | Pozvánky

Zítra proběhne jednodenní online konference InstallFest 2021. Na programu je celá řada zajímavých přednášek, workshopů a také stánků. Dění lze sledovat na Twitteru.

Ladislav Hagara | Komentářů: 0
5.3. 13:11 | Nová verze

Byla vydána nová verze 6.5 v Javě napsané aplikace pro komplexní návrh rozmístění nábytku a dalšího vybavení v interiérech Sweet Home 3D. Vyzkoušet lze online verzi. Nedávno byly aktualizovány také knihovny nábytku.

Ladislav Hagara | Komentářů: 0
5.3. 08:00 | Humor

Nové verze webových prohlížečů Firefox a Chrome byly vydávány každých 6 týdnů. Vývojářům Firefoxu se nelíbilo, že Chrome bude mít vždy větší číslo verze, proto se rozhodli vydávat nové verze Firefoxu každé 4 týdny. Aktuální stav: Firefox 86 byl vydán v 8. týdnu a Chrome 89 v 9 týdnu letošního roku. V kterém týdnu bude mít Firefox větší číslo verze než Chrome?

… více »
Ladislav Hagara | Komentářů: 37
5.3. 07:00 | Zajímavý článek

Thom Holwerda popisuje na OSnews pracovní stanici Raptor Blackbird Secure Desktop (architektura POWER9) a své zkušenosti s ní včetně provozu desktopových aplikací.

Fluttershy, yay! | Komentářů: 1
5.3. 06:00 | Nová verze

Byla vydána nová verze 1.54 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.54 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 2
4.3. 14:23 | Zajímavý článek

Check Point zveřejnil report, podle kterého NSA v roce 2013 vytvořila exploit pro operační systém MS Windows. Exploit sloužil k lokální eskalaci práv. O rok později tento exploit ukradli hackeři z Číny. Až po dvou letech byl exploit zveřejněn a Microsoft vydal aktualizaci. Jinými slovy, celé téma se točí o tom, jak NSA zřejmě přispěla ke globálnímu snížení kybernetické bezpečnosti. Celý příběh podrobně naleznete na checkpoint.com.

Max | Komentářů: 6
4.3. 09:11 | Komunita

Framework Flutter (Wikipedie) pro vývoj mobilních, webových i desktopových aplikací byl vydán ve verzi 2 a související programovací jazyk Dart (Wikipedie) byl vydán ve verzi 2.12. Proběhla online konference Flutter Engage. Videozáznam je k dispozici na YouTube. Canonical zde oznámil (Twitter, YouTube), že Flutter je výchozí volba pro vývoj nových aplikací pro Ubuntu.

Ladislav Hagara | Komentářů: 0
4.3. 09:00 | IT novinky

Společnost AMD na YouTube představila novou grafickou kartu AMD Radeon RX 6700 XT postavenou na architektuře RDNA 2. V prodeji bude od 18. března. Její cena byla stanovena na 479 dolarů.

Ladislav Hagara | Komentářů: 22
4.3. 08:00 | Nová verze

Uživatelsky přívětivý shell fish byl vydán ve verzi 3.2.0 Vylepšuje uživatelské rozhraní (doplňování, práce s historií úprav textu aj.), přidává napovídání argumentů dalších aplikací, zjednodušuje syntaxi (expanze rozsahů), opravuje chyby.

Fluttershy, yay! | Komentářů: 0
3.3. 16:00 | Zajímavý software

Steam Link je nově dostupný také pro 64bitový x86 Linux. Streamovat hry z výkonného počítače s nainstalovanou službou Steam lze tedy vedle telefonu, tabletu nebo televize i do počítače s Linuxem. Instalovat Steam Link lze z Flathubu. Od prosince 2018 je k dispozici Steam Link pro Raspberry Pi.

Ladislav Hagara | Komentářů: 0
Vzděláváte se formou hromadných online kurzů (MOOC)?
 (60%)
 (9%)
 (1%)
 (5%)
 (25%)
Celkem 139 hlasů
 Komentářů: 0
Rozcestník

Dotaz: Příchozí IPv6 ping - proč?

2.10.2017 10:47 Tonda
Příchozí IPv6 ping - proč?
Přečteno: 670×
Přílohy:
Zdravím, chtěl bych se zeptat, zda mi někdo nevysvětlí smysl následujícího jevu:
Na routeru jsem si pustil zachytávání příchozím IPv6 ICMP paketů pro ping. Jednou za čas (za pár dní) mi přijde z ničeho nic větší počet žádostí o ping. Nepřišel jsem ale na to proč, jaký to má smysl. Je to součást protokolu IPv6? Nějaké funkčnost?
Ještě bych tak pochopil jeden ping z jedné adresy. Ale vždycky to přijde postupně z několika různých adres a ve větším počtu. Cílem nejsou náhodné adresy z mého prefixu a vždy konkretní počítač (adresa). A trvá to různě dlouho - od pár sekund, do pár hodin.
Na mém počítači běží DNS resolver, NTP klient a dělá aktualize (Fedora distribuce). A má aktivní Privacy Extensions.
Pro názornost jsem přiložil 3 různé výpisy.
Zde je kousek jednoho z nich:
13:04:07.320631 IP6 2607:ae80:1::238 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 50220, length 8
13:04:07.620313 IP6 2607:ae80:5::238 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 41893, length 8
13:04:08.078625 IP6 2607:ae80:4::9 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 54653, length 8
13:04:08.157497 IP6 2607:ae80:4::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 52873, length 8
13:04:08.160692 IP6 2607:ae80:1::18 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 32774, length 8
13:04:08.200693 IP6 2607:ae80:5::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 40980, length 8
13:04:08.203472 IP6 2607:ae80:2::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 12210, length 8
13:04:08.203473 IP6 2607:ae80:1::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 18598, length 8
13:04:08.213098 IP6 2607:ae80::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 17627, length 8
13:04:08.236707 IP6 2607:ae80::18 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 41062, length 8
13:04:08.246436 IP6 2607:ae80:1::8 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 9663, length 8
13:04:14.175262 IP6 2607:ae80:5::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 43804, length 8
13:04:14.190849 IP6 2607:ae80:1::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 21950, length 8
13:04:20.167644 IP6 2607:ae80:5::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 46663, length 8
13:04:20.183638 IP6 2607:ae80:1::239 > 2a00:aaaa:bbbb:cccc:ec30:7c19:c5bd:cec3: ICMP6, echo request, seq 25234, length 8

Odpovědi

2.10.2017 11:32 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Ruzne scany, boti rekl bych "normalni" provoz.
4.10.2017 21:38 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Zeptej se na <dom@freewheel.tv>.
5.10.2017 10:13 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Tuhle adresu neznám. Je to vtip/ironie?

Mě to zajímá z toho důvodu, že ty příchozí ping pakety chodí vždy na aktuální a v tu chvíli platnou dočasnou(!) adresu (viz Privacy Extensions). Ale jiné PING ani TCP-SYN pakety mi nepřicházejí - tzn. že nejde o scan mého adresního prostoru.
Zatím mě napadá jen to, že tu dočasně platnou adresu mého zařízení "vykecá" nějaká služba, která tam běží. A těch není moc. Jak už jsem psal, pouze DNS resolver, NTP klient, Kodi si občas hledá aktualizace a pak aktualizace systému.

Není to nic kritického z čeho bych nespal. Jen mi to přišlo divné. Pochopil bych občasný jeden ping nebo nějaký scan portů. Ale série pingů z různých adres? K čemu to je?
5.10.2017 10:16 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
A ještě bych dodal, že když jsem hledal u 3 vybraných zdrojových adres majitele (Whois), tak jsem našel 3 různé instituce.
5.10.2017 12:55 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Co se stane kdyz na ten ICMPv6 echo request korektne odpovis? Nastaveni firewallu mas jake?
5.10.2017 13:51 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Na IPv6 nic neblokuji. Odpovědi by se měli zcela korektně vracet.
Pomocí tcpdump chytám jen příchozí icmp-request a příchozí tcp-syn paket (pro port<1024). Takže odpovědi v záznamu nejsou, ale měli by odcházet.
5.10.2017 14:25 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Tam je nejaky prichozi TCP syn? Na jakem portu? Jak vypada kompletni komunikace?
5.10.2017 14:46 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Tím bylo myšleno nastavení filtru pro tcpdump. Příchozí data jsou pouze ten ping. Nic jiného. Viz přiložený soubor v prvním příspěvku.
Kompletní komunikaci nezachytávám, byla by to spousta dat běžného provozu.
Prvotní myšlenka byla taková, že mě zajímalo, jestli po IPv6 chodí nějaký ten scan portů nebo pokusy o spojení na ssh apod. Tak jsem si pustil tcpdump na routeru a aby to moc nerostlo do velikosti, tak jsem tam dal do filtru jen ICMPv6 request + TCP SYN pakety pro příchozí data.
5.10.2017 14:53 NN
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Zastav vlastni komunikaci o ktere vis a dumpni komplet prvnich 1000 od nahozeni rozhrani a pak se muzeme bavit o tom co se deje. Na nejekam predvybranem osekanem vyberu muzes maximalne hadat..
5.10.2017 19:54 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?

To je kontakt na majitele adres uvedených v dotazu. Jen on ví, proč to dělá.

Ve třech přílohách jsou tři bloky adres. Jeden od reklamní agentury, druhý od Facebooku a třetí od nějaké firmy na Ukrajině.

Protože dotazy vždy chodí z jednoho malého bloku a na platnou dočasnou adresu, nejedná se o nějaký slepý distribuovaný útok či scan, ale naopak je velmi pravděpodobné, že koreluje právě s komunikací, která vychází z tvého stroje. Třeba když brouzdáš po webu, tak v mají tvoji adresu z DNS a HTTP klienta. Kód Facebooku je na každé webové stránce, reklamní agentura má vlastní reklamní síť a Ukrajina, kdo ví.

Může to být nějaká nová marketingová akce, třeba sledují, jak dlouho máš zapnutý počítač, aby věděly, kdy jsi doma a kdy ne, nebo testují, jestli se jedná o mobil, který je pořád připojený, nebo o pracovní stanici v práci nebo doma. Dneska všichni chtějí cílenou reklamu. Nebo si mohli všichni koupit nějaké děravé udělátko, někdo ho na dálku ovládl a schovává za jejich adresy. Nebo si někdo zkouší do ICMP packetů uložit data (kdysi se takový pokus dělal).

To jsou všechno jenom spekulace. Nejlepší bude se jich zeptat, případě sledovat i svůj provoz (třeba na odchozí komunikaci na tyto bloky). Jinak ano, normální to není.

5.10.2017 20:10 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?

A právě mě napadlo geniální využití. Přemýšlel jsem proč IPv6 a proč ICMP.

ICMP je bezstavový, takže se dá podvrhnout zdrojová adresa. IPv6 zase potřebuje funkční ICMP (kvůli path MTU discovery), takže echo request/response se často neblokuje. Takže by se dala postavit docela funkční síť nad ICMPv6, kde odesílatel by do zdrojové adresy napsal adresu zamýšleného adresáta a zprávu schoval dovnitř ICMPv6 packetu a ten odeslal na nějakou cizí existující IPv6 adresu. Třeba na vaši. Vy byste pak na ni odpověděl (do odpovědi se kopíruje příchozí packet) a odpověď by přišla skutečně zamýšlenému adresátu. Ten by z něj vybalil původní zprávu. Více adres se stejného bloku je pravděpodobně jediný stroj, na který se směruje celý blok a různě adresy se používají pro demultiplexování mezi uživatele oné sítě (něco jako u IPv4 NAPT se střídají porty).

Sice nevím, k čemu by to bylo dobré. Ale fungovat by to mělo. Možná pokus o nějaký mixnet.

6.10.2017 13:45 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Na skrytou komunikaci to nevypadá.
Každá ta série pingů z jednoho prefixu vypadá nachlup stejně a to tak, že buď za hlavičkou nemá žádná data nebo jednou byly 4 stále stejné byty a nebo v jiném případě tam byl stále stejný počet nul. Jediné, co se mění, je kontrolní součet + nějaké id číslo + sekvenční číslo.
6.10.2017 13:55 Tonda
Rozbalit Rozbalit vše Re: Příchozí IPv6 ping - proč?
Za sledované období (1.9.-1.10.) mi ta série pingů přišla celkem 5x a to na 2 stroje. Jeden je router (DNS, NTP, aktualizace OS) a druhý je pracovní pc (web, mail, steam klient, aktualizace OS). Jediné co mají společné, jsou aktualizace systému. A nebo z jiného pohledu - že prostě oba komunikují s internetem.
Teďka už 6 dní nic nepřišlo, tak není co zkoumat. Jestli se to zase objeví, tak zkusím chytit celou komunikaci.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.