Linux 上的 IPv6 NDP 欺骗预防

Question

我个人使用ipv6双栈ipv4，但你总是可以使用例如来ipv6 icmpv6阻止。firehol

ipv6 interface any v6interop proto icmpv6
  policy drop

如果你不想使用，firehol请尝试检查ip6tables此助手生成的规则是什么。更多信息Firehol 文档

根据评论进行编辑

我明白你的意思，并做了一些研究，让我与你分享：

如何根据目标地址 (tgt) 阻止 icmpv6 流量

首先让我们捕获一个我们想要阻止的数据包（136 = 邻居通告数据icmpv6包）

tcpdump -ttt -vvv -xx -n -i eno1 "icmp6 && ip6[40] == 136"

结果我得到了这个数据包

 00:00:05.054822 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::2ff:ffff:feff:fffe > fe80::ec4:7aff:fed9:7d0e: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::2ff:ffff:feff:fffe, Flags [router, solicited, override]
          destination link-address option (2), length 8 (1): 00:ff:ff:ff:ff:fe
        0x0000:  00ff ffff fffe
        0x0000:  0cc4 7ad9 7d0e 00ff ffff fffe 86dd 6e00
        0x0010:  0000 0020 3aff fe80 0000 0000 0000 02ff
        0x0020:  ffff feff fffe fe80 0000 0000 0000 0ec4
        0x0030:  7aff fed9 7d0e 8800 8f7a e000 0000 fe80
        0x0040:  0000 0000 0000 02ff ffff feff fffe 0201
        0x0050:  00ff ffff fffe

IPv6 地址长度为 40 个字节，因此icmpv6以8800 8f7a e000 0000icmpv6 主体紧随其后fe80 0000 0000 0000 02ff ffff feff fffe。最后一部分根据 RFC是目标地址或tgt。

现在让我们看看如何使用过滤这些数据包ip6tables。我发现了两个有趣的 netfilter 模块，string和u32。我没有弄清楚如何使用string模块进行过滤，但u32效果很好。

假设tgt你想阻止的fe80::2ff:ffff:feff:fffe ip6tables规则是这样的

ip6tables -I INPUT 1 -p icmpv6 --icmpv6-type neighbor-advertisement -m u32 --u32 "48=0xfe800000 && 52=0x00000000 && 56=0x02ffffff && 60=0xfefffffe" -j LOG --log-prefix "Bad neighbor-advertisement tgt:"

请注意，我不想阻止它，只是记录给定的数据包以查看规则是否匹配。

Aug 20 09:45:24 squanchy kernel: Bad neighbor-advertisement tgIN=eno1 OUT= MAC=0c:c4:7a:d9:7d:0e:00:ff:ff:ff:ff:fe:86:dd SRC=fe80:0000:0000:0000:02ff:ffff:feff:fffe DST=fe80:0000:0000:0000:0ec4:7aff:fed9:7d0e LEN=72 TC=224 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=136 CODE=0

我再次firehol在服务器上运行，因此日志与原始日志略有不同ip6tables

PS 请注意这里的规则是基于tgt而不是看起来与字段相同的源地址tgt。

Answer 1

我个人使用ipv6双栈ipv4，但你总是可以使用例如来ipv6 icmpv6阻止。firehol

ipv6 interface any v6interop proto icmpv6
  policy drop

如果你不想使用，firehol请尝试检查ip6tables此助手生成的规则是什么。更多信息Firehol 文档

根据评论进行编辑

我明白你的意思，并做了一些研究，让我与你分享：

如何根据目标地址 (tgt) 阻止 icmpv6 流量

首先让我们捕获一个我们想要阻止的数据包（136 = 邻居通告数据icmpv6包）

tcpdump -ttt -vvv -xx -n -i eno1 "icmp6 && ip6[40] == 136"

结果我得到了这个数据包

 00:00:05.054822 IP6 (class 0xe0, hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::2ff:ffff:feff:fffe > fe80::ec4:7aff:fed9:7d0e: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::2ff:ffff:feff:fffe, Flags [router, solicited, override]
          destination link-address option (2), length 8 (1): 00:ff:ff:ff:ff:fe
        0x0000:  00ff ffff fffe
        0x0000:  0cc4 7ad9 7d0e 00ff ffff fffe 86dd 6e00
        0x0010:  0000 0020 3aff fe80 0000 0000 0000 02ff
        0x0020:  ffff feff fffe fe80 0000 0000 0000 0ec4
        0x0030:  7aff fed9 7d0e 8800 8f7a e000 0000 fe80
        0x0040:  0000 0000 0000 02ff ffff feff fffe 0201
        0x0050:  00ff ffff fffe

IPv6 地址长度为 40 个字节，因此icmpv6以8800 8f7a e000 0000icmpv6 主体紧随其后fe80 0000 0000 0000 02ff ffff feff fffe。最后一部分根据 RFC是目标地址或tgt。

现在让我们看看如何使用过滤这些数据包ip6tables。我发现了两个有趣的 netfilter 模块，string和u32。我没有弄清楚如何使用string模块进行过滤，但u32效果很好。

假设tgt你想阻止的fe80::2ff:ffff:feff:fffe ip6tables规则是这样的

ip6tables -I INPUT 1 -p icmpv6 --icmpv6-type neighbor-advertisement -m u32 --u32 "48=0xfe800000 && 52=0x00000000 && 56=0x02ffffff && 60=0xfefffffe" -j LOG --log-prefix "Bad neighbor-advertisement tgt:"

请注意，我不想阻止它，只是记录给定的数据包以查看规则是否匹配。

Aug 20 09:45:24 squanchy kernel: Bad neighbor-advertisement tgIN=eno1 OUT= MAC=0c:c4:7a:d9:7d:0e:00:ff:ff:ff:ff:fe:86:dd SRC=fe80:0000:0000:0000:02ff:ffff:feff:fffe DST=fe80:0000:0000:0000:0ec4:7aff:fed9:7d0e LEN=72 TC=224 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=136 CODE=0

我再次firehol在服务器上运行，因此日志与原始日志略有不同ip6tables

PS 请注意这里的规则是基于tgt而不是看起来与字段相同的源地址tgt。

Linux 上的 IPv6 NDP 欺骗预防

答案1

根据评论进行编辑

如何根据目标地址 (tgt) 阻止 icmpv6 流量

相关内容