net'work ch'aracter

У меня сегодня день Кассандры:)

IPv6 Routing Header 0 is dangerous.
[...]

An attacker can "amplify" a denial of service attack against a link between
two vulnerable hosts; that is, by sending a small volume of traffic the
attacker can consume a much larger amount of bandwidth between the two
vulnerable hosts.
[...]

NOTE WELL: The solution described below causes IPv6 type 0 routing headers
to be ignored. Support for IPv6 type 0 routing headers can be re-enabled
if required by setting the newly added net.inet6.ip6.rthdr0_allowed sysctl
to a non-zero value.


полностью тут: http://security.freebsd.org/advisories/FreeBSD-SA-07:03.ipv6.asc

как его использовать не по назначению - уже известно.

http://www.securitylab.ru/contest/264659.php

что всё так мрачно - не предполагал.

alias dig='dig -4'

В моём рабочем десктопе стоит вторая сетевушка - что-то подключать локально. Снаружи это никак не видно - вся внутренняя активность NAT'ится. По IPv6, включая форвардинг я автоматически даю команду данному узлу участвовать в router solicitation (и это не управляется). Ладно, это для внутренней сети нужно. Для внешней - зачем? Я ей не раутер.

(Предыдущее обсуждение: http://www.livejournal.com/users/netch/8262.html)

Почти самый полный вариант моих наездов на IPv6, некоторые результаты обсуждения в ru.unix.bsd и дополнительные материалы.
RFD.

( Read more... )