web-dev-qa-db-ja.com

IPv6はDDoS緩和技術にどのように影響しますか?

IPv6はIPv4よりもはるかに大きなアドレス空間を導入し、それによってDDoS攻撃を作成および軽減する多くの新しい手法があります。リスクと緩和策の例は何ですか?

たとえば、IPv6の追加のアドレススペースで、フィルタリングできる新しいセット Bogon IPs がありますか?

有効な接続について、作業証明またはホワイトリストを作成できますか?

DDoSリスクにプラスまたはマイナスの影響を与える可能性のあるIPv6固有の機能はありますか?

9

IPv6はIPv4とそれほど変わらないことに注意してください。

レイヤー2は、レイヤー4以上と同じです。ルーティングプロトコルも同じです。

したがって、古き良き「被害者のインターネットリンクを埋める」攻撃は、IPv6でも同様に機能しますが、ツールは異なります。期待できるのは、ISPがIPv6を実装したときに、なりすましアドレスがネットワークを離れないようにするための優れた機能を提供することです。

3
sk0yern

フィルターできるBogon IPの新しいセットはありますか?

はい、それは広大です。 https://github.com/autocracy/python-ipy/blob/d051b1ce7938f5eef6ea75bc72c51509b568b6ca/IPy.py#L36 は、割り当てがどのように設定されているかを確認するのにまずまずです。 IPv6ranges テーブル。

有効な接続について、作業証明またはホワイトリストを作成できますか?

それは私にとって何も役に立たないことを知りません。

DDoSリスクを引き起こしたり、緩和策として使用したりできるIPv6固有の機能はありますか?

はい、着信メッセージは通常、ルーターがパケットの転送先のL2アドレスを見つけようとするため、大規模なアドレス空間はローカルで問題を引き起こす可能性があります。すべてのアドレスは新しい要請をもたらす可能性があるため、それはマイナスの影響です。 http://tools.ietf.org/html/rfc6164#section-5.2 を参照してください

3
Jeff Ferland

IPv6セキュリティに関心がある場合は、ipv6hackersメーリングリストをご覧ください。 http://lists.si6networks.com/listinfo/ipv6hackers

参照する必要があるツールには http://www.thc.org/thc-ipv6/ のthc-ipv6と http://www.si6networks.com/のIPv6 Toolkitが含まれます。 research/tools.html

Bogonリストは、IPv4の場合と同様に、Team Cymruによって維持されます: http://www.team-cymru.org/Services/Bogons/ 。静的なハードコードされたbogonリストを使用するしない。彼らは時代遅れになります。 bogonリストが必要な場合は、それらを維持および更新するか、ライブフィードを使用してください。

3
Sander Steffann