cNotes 検索 一覧 カテゴリ

IPv6マルチキャストのパケットが

Published: 2008/06/27

create:2008/6/18

あれ?よくよく見ると、グローバルアドレスがなくてもこのこのパケットとどきますね。まぁそんな使い方することはないでしょうが、l2tpが張れていてインターフェースがIPv6対応していさえすればいいんですね。リンクローカルアドレスさえあれば。まぁマルチキャストの原理的にはそんなもんでしょうね。30秒間隔で3x2発のポーリングも本物のデータパケットも届いちゃうわけですね、地震速報。このサービスの構成にもよるんでしょうが。

update:2008/6/27

by jyake


現状のインターネットは、ボットに感染した端末からの攻撃のようなセキュリティ的なものから、デフォルト設定のままインターネットにsyslogやsnmpを飛ばしまくっているPCやブロードバンドルータまで、ゴミトラフィックがまき散らかされている状況が続いています。最近は時代に合わせて、

  • VoIP/IP電話(STUNの失敗?プライベートアドレス向けトラフィック)
  • P2P(P2Pアプリ的にも問題ないわゆる「ダメノード」向けトラフィック)

などのゴミ通信が漏れまくってゴミが増えています。

※FAX誤送信、MAIL誤送信が問題になるこのご時勢、企業さんにとってはゴミとは言い切れませんね。セキュリティ問題になりかねませんね。

一部のBogonトラフィック(プライベートアドレスとか未アサインアドレス向け)はISP内部で処理されて外部に出ることはないですが、宛先として正しいアドレスだった場合は当然スルーです。したがって、クライアント端末に到達し、ものによっては何かに感染したりするわけです。

以前IPv6のBogonトラフィックについて書きましたが、IPv6でも同じようなことは発生していて、じゃぁPCに届くトラフィックの方はどうなんだろうかと思うわけです。で、簡単にOCNのIPv6サービスに接続した端末で見てみるとこんな感じでした。当然、IPv6の利用者は微量なのであんまり面白くないわけですが、v6マルチキャストが届きます。これはたぶんOCN緊急地震速報のパケットですね。特に契約してませんが。

6/12までは1種類(dst portが6101)だったのが6/13から2種類(dst portが6101と8001)になってます。サービスが増えたのかな?特に契約してませんが。

 226 09:13:09.342580 fe80::21a:6dff:feb9:fd1b -> ff02::1      ICMPv6 Multicast listener query
 227 09:13:10.594636 fe80::21a:6dff:feb9:fd1b -> ff02::16     ICMPv6 Multicast Listener Report Message v2
 230 09:13:28.198479 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 32794  Destination port: 6101
 231 09:13:28.199462 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 44318  Destination port: 8001
 232 09:13:28.250932 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 32794  Destination port: 6101
 233 09:13:28.251930 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 44318  Destination port: 8001
 234 09:13:28.303180 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 32794  Destination port: 6101
 235 09:13:28.304150 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 44318  Destination port: 8001
 236 09:13:58.204501 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 32794  Destination port: 6101
 237 09:13:58.205482 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 44318  Destination port: 8001
 238 09:13:58.256954 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 32794  Destination port: 6101
 239 09:13:58.257954 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 44318  Destination port: 8001
 240 09:13:58.309926 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 44318  Destination port: 8001
 241 09:13:58.310171 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 32794  Destination port: 6101
 242 09:14:28.210277 2001:380:50c:99::51 -> ff3e::8000:1000 UDP Source port: 32794  Destination port: 6101

通常はこんなのが30秒に1回3パケット(x2)ずつ届きます。特に契約していませんが。

 User Datagram Protocol, Src Port: 44318 (44318), Dst Port: 8001 (8001)
    Source port: 44318 (44318)
    Destination port: 8001 (8001)
    Length: 56
    Checksum: 0x4468 [correct]
        [Good Checksum: True]
        [Bad Checksum: False]
 Data (48 bytes)
 0000  30 00 00 00 00 ff 03 01 00 00 01 00 01 00 00 00   0...............
 0010  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
 0020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................

そして情報がある場合には、こんなのが届きます。特に契約していませんが。

 User Datagram Protocol, Src Port: 32794 (32794), Dst Port: 6101 (6101)
    Source port: 32794 (32794)
    Destination port: 6101 (6101)
    Length: 260
    Checksum: 0x42af [correct]
        [Good Checksum: True]
        [Bad Checksum: False]
 Data (252 bytes)
 
 0000  fc 00 00 00 00 00 03 03 00 00 01 00 01 00 32 30   ..............20
 0010  30 38 30 36 31 34 30 30 30 30 30 30 32 35 00 00   08061400000025..
 0020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
 0030  30 30 30 30 30 31 39 34 61 4e 35 04 25 04 00 10   00000194aN5.%...
 0040  10 00 16 00 77 e7 08 00 00 00 00 00 00 00 00 00   ....w...........
 0050  00 00 00 00 00 00 00 00 00 00 00 00 00 00 0a c5   ................
 0060  b3 b7 d4 bd c4 33 20 b7 bc d6 b3 0a 02 0a 33 37   .....3 .......37
 0070  20 30 33 20 30 30 20 30 38 30 36 31 34 30 39 30    03 00 080614090
 0080  38 30 30 20 43 31 31 0a 30 38 30 36 31 34 30 39   800 C11.08061409
 0090  30 37 32 31 0a 4e 44 32 30 30 38 30 36 31 34 30   0721.ND200806140
 00a0  39 30 37 35 36 20 4e 43 4e 30 30 31 20 4a 44 2f   90756 NCN001 JD/
 00b0  2f 2f 2f 2f 2f 2f 2f 2f 2f 2f 2f 2f 2f 20 4a 4e   ///////////// JN
 00c0  2f 2f 2f 0a 32 31 33 20 4e 33 39 31 20 45 31 34   ///.213 N391 E14
 00d0  30 39 20 30 31 30 20 34 31 20 30 33 20 52 4b 36   09 010 41 03 RK6
 00e0  36 32 2f 2f 20 52 54 30 30 2f 2f 2f 20 52 43 2f   62// RT00/// RC/
 00f0  2f 2f 2f 2f 0a 39 39 39 39 3d 0a 03               ////.9999=..

MLDv2なのでPIM-SSMを使ってます。6/12以前はPIMのパケットも届いていました。さすがにPIM-DM程ではないですがデータがユーザーに届いてしまうのも10年前のマルチキャストと何も変わっていないわけで、IPv4でのマルチキャストの問題もそのまま引き継がれているような気がします。

と考えると、

  • DDoSへの利用(マルチキャスト特有の効果が見込める)
  • 逆流(ニセ情報をばら撒かれる?)
  • アプリケーションが使っているポートがねらい目?(このポートへの通信が開放されているわけだからここを狙え?このアプリを狙え?)

など使いようはいろいろ考えられます。しかもいまだマイナーなIPv6なので、使っている方も作っている方もセキュリティ意識が低いでしょうし。

しかし、今の形態だと、チャンネルが増えたり、サービスが増えれば、届くパケット増えますよね?開放するポート増えますよね?

IPv6ファイアーウォールとかどれだけ意識して使っている人がいるか疑問ですね。

今回はOCNのIPv6環境で見えた範囲のことですが、IPv6全体としてどうなんでしょうね?学習能力のないインターネット業界は、IPv4時代と同じことを繰り返すんでしょうか?サービスの変わり目は人も物もセキュリティ的に脆弱なので、そこを悪い人たちは狙っているのは過去の経験からも明白ですので、いやな時代が近づいてきているのかもしれません。

IPv6の方がより大規模な、攻撃力の高いDDoSやらなんやらを実現できるわけですから。結局何も考えられていないんじゃないかなぁと思うわけです。

商用インターネットにかかわる方々は毎日いろんな問題に直面し続けているわけで、それを解決するための仕様や手法や技術に悩み続けているわけです。利用者目線ですべてを見ないといけないですし。それに対するインターネットを作っている?と思われている、頭を使うだけの人たちとの感覚、価値観のずれの大きさをこの10年感じ続けています。

しかしIPv6、、、、、いけてない、、、

今後追記していきたいと思います。

[カテゴリ:IPv6観察日記]

by jyake