ICANN殿もさすがに心配の御様子ですが、向こうもビジネスでやってるうちはインターノットを壊滅させる気はないでしょう。→conflicker-dns-security-and-what-icann-is-doing-about-it
でもMorris君のようなミスで大惨事があるかもね。
関連: Conficker Worm (MS), W32/Conficker.worm.gen.b (McAfee)
ところで、1月上旬からずっと続いている NS . によるDDoSが一向に止められないのは、「通信の自由」のせい?
TTLがずっとほぼ一定してるので出所は突き止められててもよさそうなものなのに。
最近はORLAN-NET.RUがひどいめに遭っていそう。
09:07:48.616194 IP (tos 0x0, ttl 43, id 47863, offset 0, flags [none], length: 45) 195.68.176.4.65040 > ***.**.218.226.53: [udp sum ok] 10697+ NS? . (17) 09:07:49.769857 IP (tos 0x0, ttl 43, id 50160, offset 0, flags [none], length: 45) 195.68.176.4.51865 > ***.**.218.246.53: [udp sum ok] 27826+ NS? . (17) 09:07:50.905827 IP (tos 0x0, ttl 43, id 51877, offset 0, flags [none], length: 45) 195.68.176.4.54950 > ***.**.218.229.53: [udp sum ok] 46389+ NS? . (17) 09:07:51.259633 IP (tos 0x0, ttl 43, id 16906, offset 0, flags [none], length: 45) 195.68.176.4.29568 > ***.**.218.226.53: [udp sum ok] 22069+ NS? . (17) 09:07:52.107346 IP (tos 0x0, ttl 43, id 13757, offset 0, flags [none], length: 45) 195.68.176.4.64778 > ***.**.218.246.53: [udp sum ok] 29817+ NS? . (17)
現在、このIPアドレスは応答なし。 同じセグメント(でしょう)の195.68.176.6にping打ってみると、TTL 48 なので、上記はおそらく詐称であり、これに応答すると本物の195.68.176.4へのDDoSに加担しちゃう。(他のIPアドレスへの攻撃もTTLは大部分が私のところでTTL 42か43)
195.68.176.4のPTRはns1.orlan-net.ruだが、正引きでは195.68.176.6が現在のns1.orlan-net.ru。 しかし、orlan-net.ruを問い合わせてみてもREFUSE。現在はns2.orlan-net.ruだけで持っているように見える。
2/17追記: 195.68.176.4 をsrc とするパケットはTTLが52へ変化。 42,43方面のISPがやっとブロックしてくれたのか? 、、、と思いきや、42,43方面からは src 62.109.4.89 なパケットが、、、
RFC3041(Privacy Extensions for Address Configuration in IPv6) はMACアドレスから生成される固定的なEUI-64が、プライバシーに懸念を生ずるということで用意されたものだが、prefixが固定されたのでは意味が無いのでは? と思っていた。 その点は、RFC3750(Unmanaged Networks IPv6 Transition Scenarios )でも(IPアドレスだけ心配しても意味ないだろうという点まで含めて)考察されており、OCN IPv6では非固定prefixも提供されたりしている。
しかし、端末の1hop手前のゲートウェイに匿名性は確保されるのだろうかと考えて、ちょっと不安になった。FreeBSDでは、
ipv6_gateway_enable="YES"
rtadvd_enable="YES"
とすると、
net.inet6.ip6.use_tempaddr=1
が無視されてしまう。 RAを吐くゲートウェイはIPアドレスを固定しなさいということのようだ。(そりゃそうだ。ゲートウェイが移動しちゃったらだめでしょうとか思ったが、リンクローカルだけ固定すればよさそうに思える)
ところで、虎穴に入らずんば虎子を得ずってことで、自宅にIPv6ルータを仕立て上げ、Tiger(Mac OS X) にRAを喰わせてみたところ、「ネットワーク設定はほかのアプリケーションによって変更されました」の無限ループ攻撃に遭ってしまった。くわばらくわばら
関連:
以下の脆弱性報告あり。
your.orgのPDFをざっと読む限り、確かに簡単に毒は入りそうだが、アクセス制限と許可範囲をspoofするqueryをファイアウォール等で止めてあれば、"Less Critical"ってことでよさそうに思える。(受動的攻撃は可能かなぁ、、、botにやられちゃしょうがないが)
Copyright by T.Suzuki
■ tss [追記: net.inet6.ip6.prefer_tempaddr=1 しないと 匿名アドレスが src にならない..]
■ Medicine Ball Exercises [Useful blog website, keep me personally through searching ..]
■ tss [こんなのつくりました http://www.e-ontap.com/ipv6/eui-64.rb]