mboost-dp1
Hvornår kan man verificere afsender adressen på 6to4 trafik?
Jeg sidder og koder på noget software der bla. skal håndtere forskellige IPv6 over IPv4 tunneller. Jeg lavede et check i min kode for om afsender IPv4 adressen på pakker sendt til en 6to4 destination var som forventet.
Hvis afsender adressen var en 2002::/16 adresse, så checkede jeg at afsender IPv4 adressen matchede de næste 32 bits i IPv6 adressen. Hvis afsender adressen ikke var en 2002::/16 adresse, så checkede jeg at afsenderen var 192.88.99.1.
Det viste sig, at det virker ikke hvis afsenderen bruger en HE tunnel. HE sætter ikke afsender adressen til 192.88.99.1 men bruger en anden IPv4 adresse som afsender.
Jeg har prøvet at kigge på de relevante RFCer, men jeg fandt ingen steder nævnt hvad en 6to4 relay router skulle angive som afsender IPv4 adresse.
Er der allerede 6to4 software, som verificerer at afsender adressen er 192.88.99.1? Hvis der er, så kan den software næppe kommunikere med HE brugere. Hvis ingen verificerer IPv4 afsender adressen, betyder det så ikke, at det er trivielt at spoofe IPv6 afsender adressen?
Er der andre end HE som sender pakker til 6to4 destinationer uden at sætte source adressen til 192.88.99.1?
Hvis afsender adressen var en 2002::/16 adresse, så checkede jeg at afsender IPv4 adressen matchede de næste 32 bits i IPv6 adressen. Hvis afsender adressen ikke var en 2002::/16 adresse, så checkede jeg at afsenderen var 192.88.99.1.
Det viste sig, at det virker ikke hvis afsenderen bruger en HE tunnel. HE sætter ikke afsender adressen til 192.88.99.1 men bruger en anden IPv4 adresse som afsender.
Jeg har prøvet at kigge på de relevante RFCer, men jeg fandt ingen steder nævnt hvad en 6to4 relay router skulle angive som afsender IPv4 adresse.
Er der allerede 6to4 software, som verificerer at afsender adressen er 192.88.99.1? Hvis der er, så kan den software næppe kommunikere med HE brugere. Hvis ingen verificerer IPv4 afsender adressen, betyder det så ikke, at det er trivielt at spoofe IPv6 afsender adressen?
Er der andre end HE som sender pakker til 6to4 destinationer uden at sætte source adressen til 192.88.99.1?
Jeg gennemsøgte mine logfiler for alle de 6to4 adresser jeg har kommunikeret med. Og så prøvede jeg at pinge hver af dem over hhv. 6to4 og en HE tunnel. Jeg fandt en adresse jeg kunne pinge over 6to4 men ikke over en HE tunnel.
Men det kan der være så mange andre forklaringer på. Så nu må jeg hellere prøve at finde ud af, hvorfor jeg ikke kan pinge den adresse.
Men det kan der være så mange andre forklaringer på. Så nu må jeg hellere prøve at finde ud af, hvorfor jeg ikke kan pinge den adresse.
Jeg fandt frem til http://www.sixxs.net/tools/traceroute/ hvorfra jeg prøvede traceroute til den 6to4 adresse jeg ikke kunne pinge over HE. Den kunne heller ikke svare sixxs. Jeg brugte også sixxs til at køre en traceroute til en 6to4 adresse på min egen computer, så jeg kunne se at afsender adressen var 192.88.99.1. Det var altså ikke afsender adressen, som gjorde at jeg ikke kunne komme i kontakt med den pågældende 6to4 adresse.
Det var sikkert bare fordi IPv6 pakker fra den maskine sendes til et fejlkonfigureret relay. Det er uheldigt at det store antal fejlkonfigurerede 6to4 relays betyder at IPv6 nettet er inddelt i to blokke der har svært ved at kommunikere med hinanden. Man kan nemt ende i en situation, hvor man er nødt til at vælge side.
Det var sikkert bare fordi IPv6 pakker fra den maskine sendes til et fejlkonfigureret relay. Det er uheldigt at det store antal fejlkonfigurerede 6to4 relays betyder at IPv6 nettet er inddelt i to blokke der har svært ved at kommunikere med hinanden. Man kan nemt ende i en situation, hvor man er nødt til at vælge side.
Gå til top
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Programmering
Gå til bund