FC00::1 (Algunos) Ataques en IPv6

fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b : f65d : 7cca fe80 :: 9936 : f84b :

Chema

Alonso

@chemaal

onso

fc00::1 (Algunos)

Ataques en IPv6


¡Gracias!


“Fear and Loath”

• ipconfig


Chema

Alonso

@chemaal

onso

Parte 1:

Conceptos

Básicos


Direcciones IPv6

• Longitud 128 bits

• 8 grupos de 16 bits

• Escrita en hexadecimal

• Tiene bits subnet/prefix

• Configuración:– Estática

– Por router (SLAAC)

– Por DHCPv6


• Una lista de grupos de valores 0 se puede

sustituir por ::

• Sólo una sustitución por dirección IPv6

– fc01::0001 ->Bien

– fc01::db99::0001 -> Mal

• Máscaras se indican como longitud de

bits– Posiciones: 16:32:48:64:80:96:112:128

– A: 2001::2000:0001/96

– B: 2001::2001:0001/112

Direcciones IPv6

¿Ping?


• ::/128: Todo 0. Dirección indefinida

• ::/0: Ruta por defecto. Equivalente a 0.0.0.0 (IPv4)

• ::1/128: Localhost. Equivalente a 127.0.0.1 (IPv4)

• fe80::/10: Vínculo local (No enrutables)

– Generan una red local efectiva fe80::/64.

– La parte de Host se suele calcular a partir de MAC

– Equivalentes a 169.254.0.0/16 (IPv4)

– Todo interfaz tiene un vínculo local

• ff02::/16: Direcciones Multicast (224.X) en IPv4

IPv6 Well-known


• fc00::/7. Direcciones Privadas

– No enrutables en Internet

– Equivalentes a 10.X, 172.16.X y 192.168.X en

IPv4

• ::ffff:0:0/96. Direcciones IPv4 mapeadas a

IPv6• 64:ff9b::/96. Direcciones IPv6 generadas

automáticamente a partir de IPv4

• 2002::/16. Red 6 to 4 mapeada. Usa la

dirección IPv4 192.88.99.X como gateway.

IPv6 Well-known


• 2001::/32. Usado por el protocolo de túneles

Teredo

– IPv6 en el Internet de IPv4

• 2001:2::/48. Benchmarking Methodology Working

Group (BMWG) (Similar a la red en IPv4).

• 2001:10::/28. ORCHID (Overlay Routable

Cryptographic Hash Identifiers).

• 2001:db8::/32. Documentación o ejemplos IPv6.

Similar a las redes 192.0.2.0/24, 198.51.100.0/24

y 203.0.113.0/24 en IPv4.

IPv6 Well-known


• Unicast: Un solo destinatario

– Link Local

– Site Local

– Internet

• Multicast: A todos los destinatarios

– Link Local

– Site Local

• Anycast: Al más cercano

– Link Local

Tipos de mensajes IPv6


• Algoritmo que permite elegir qué

protocolo (IPv4 o IPv6) y qué dirección

se debe usar.

• RFC6724– Selección de dirección destino

– Selección de mejor dirección origen en

función de la dirección destino

• Se configura a nivel de SO aunque las

aplicaciones pueden saltárselo.

Precedencia


Chema

Alonso

@chemaal

onso

Parte 2:

Inspeccionando

IPv6


• 0: Localhost IPv6

• 1: Cualquier dirección IPv6

• 2: Cualquier dirección 6to4

• 3: Cualquier dirección IPv4

• 4: Cualquier dirección IPv4 mapeada de IPv6

• 5: Teredo

Precedencia en Windows


• netsh interface ipv6 show prefixpolicies

– Muestra la tabla local de políticas

• netsh interface ipv6 add prefixpolicies

– Añade nuevas entradas a la tabla local de políticas

• netsh interface ipv6 set prefixpolicies

– Configura entradas en la tabla local de políticas

• netsh interface ipv6 delete prefixpolicies

– Borra entradas en la tabla local de políticas

• Ejemplo:– C:\>netsh interface ipv6 set prefixpolicies prefix=2001::/32

precedence=15 label=5

Precedencia en Windows


• No ARP, se usan tramas ICMPv6

• Neighbor Discovery Protocol (NDP)

• Descubrir dirección física: RFC 4861

Descubrimiento de vecinos


Tabla de vecinos IPv6


• Manual (estática)

• DHCPv6 • SLAAC (RFC 4861)

(Stateless Address

Auto Configuration)

– Router Solicitation

– Router Advertisement

Asignación de direcciones IPv6 y Gateway IPv6


• Manual

• DHCPv6– 00023: Lista de servidores DNSv6

Servers

• DNS AutoDiscovery

DNSv6 Servers


Chema

Alonso

@chemaal

onso

Parte 3:

Algunos ataques


• Neighbourgh Solicitation

–Multicast (Linux)

• Predicción de IPv6 (workarround RFC

4941)

• LLMNR (Windows Kenerl 6.X)

Descubrimiento de equipos


• Mismo equipo en diferentes redes

– Cambia el prefijo de red

– No cambia el Host id

• Depende de Mac

– 2001:db8:1::aaaa:bbbb:cccc:dddd

– 2001:db8:2::aaaa:bbbb:cccc:dddd

• RFC 4941

–Windows

Host Tracking


• Si no se controlan las direcciones

IPv6:– Fec0:0:0:ffff::1

– Fec0:0:0:ffff::2

– Fec0:0:0:ffff::3

• Cualquier atacante puede usarlas:

– Rogue DNS

DNS Autodiscovery lack


• Anuncia una IPv6 en una rogue MAC

– D.O.S. IPv6 • Gateway IPv6 -> Null

–Man in the middle

• Sniffing

• DNS Spoofing

• …..

NA Spoofing en ICMPv6


• Genera paquetes IPv6

• Incluido en BT

Scapy

http://www.secdev.org/projects/scapy/

http://void.gr/kargig/ipv6/scapy-IPv6_HITB06.pdf






Man in the middle ICPMv6


• Con parasite6 (Incluido en BackTrack)

– Poner dirección IPv6 en BT

• Ifconfig eth0 inet6 add fc00::3/112

– Activar parasite6

• Parasite6 eth0

– Activar enrutamiento– Sysctl –w net.ipv6.conf.all.forwarding=1

– Activar TCP Dump– Tcpdump –i eth0 ip6 -v

Parasite6 (THC)


Parasite6 (THC)


• Neighbor Discovery Protocol

– NS/NA

– RS/RA

– Redirect: Indica cuál debe ser el primer

hop

• Usando ICMPv6 Spoofing

– Se enruta hacia el host del atacante

• THC – redir6

NDP – Redirect


• Un equipo puede

tener multiples

GW IPv6

• Cada RA con un

Prefix -> una

IPv6 SLAAC

• Una tormenta de

RA causa D.O.S.

en Windows

D.O.S. SLAAC


• Deshabilitar IPv4 remotamente

– D.O.S. Gateway• ARP Spoofing MAC Gateway -> Null

• Configurar dirección IPv6, GWv6

– SLAAC

– DHCPv6

• Configurar DNSv6

– Spoofeando DNS Autodiscovery

– DHCPv6 (0023)

• Activar Routing

Man in the middleIPV6 en redes IPV4


• Dar Acceso a Internet: DNS6to4 y NAT6to6





Evil FOCA


• parasite6: realiza atques MITM con listas de vecinos spoofeados.

• alive6: escáner que detecta equipos con IPv6

• dnsdict6: realiza ataques de diccionario a DNSv6

• fake_router6: Se anuncia un equipo como router IPv6 con la mayor

prioridad.

• redir6: redirige tráfico con icmpv6 spoofing (man in the middle)

• toobig6: Permite reduce los valores MTU

• detect-new-ip6: detecta nuevos equipos IPv6 que se unen a la red y le

pasa un script al equipo nuevo.

• dos-new-ip6: detecta nuevos equipos y le dice que su IPv6 está repetida

en la red generando un ataque D.O.S.

• trace6: rápido traceroute6 con soporte para ICMP6 echo request y TCP-

SYN

• flood_router6: Ataque flood RA (Router Advertisement)

• flood_advertise6: Ataque flood NA (Neighbor advertisement)

• fuzz_ip6: fuzzer para IPv6

• implementation6: comprueba la implementación de IPv6

BackTrack 5: THC(The Hacker Choice)


• implementation6d: Demonio que escucha implementation6 detrás de

un FW

• fake_mld6: se anuncia como un grupo multicast en la red

• fake_mld26: lo mismo pero para MLDv2

• fake_mldrouter6: envía mensajes falsos de routers MLD

• fake_mipv6: roba una dirección IP móvil para ti si IPSEC no pide

autenticación.

• fake_advertiser6: Te anuncia en la red.

• smurf6: local smurfer.

• rsmurf6: remote smurfer (solo para Linux)

• exploit6: lanza exploits IPv6 conocidos contra un equipo.

• denial6: lanza pruebas de ataques denial-of-service contra un equipo.

• thcping6: envía un paquete ping6 personalizado.

• sendpees6: envía un paquete especial de NS (Neighbor Solicitation)

que hace entrar la CPU en thrashing realizando cálculos criptográficos

BackTrack 5: THC(The Hacker Choice)


Deshabilitar IPv6

netsh interface ipv6 set interface "Nombre NIC" routerdiscovery=disabled


Chema

Alonso

@chemaal

onso

¿Preguntas?

Technology

FC00::1 (Algunos) Ataques en IPv6