Vlákno názorů k článku
Chyba v protokolu SLP umožňuje odrazit DDoS a 2200× ho zesílit od Ivan Brezina - SLP pouziva multicast. Jakoze poslete multicast packet do...

Na hlinenych nohach stoji leda vase argumentace - on i ten takzvany vzorec je tak trosku vycucany z prstu, ze? :-) Ze to zas takovy problem jak tu licite neni dokazuje existence veci jako treba IPv6 hit list. A samozrejme jsou i dalsi techniky, kterak zredukovat pocet skutecne proverovanych adres. Aneb ta vas vzorecek opreny jen o sermovani s vypocty kolem 2^N v praxi moc nefunguje.

Myslim, ze sa bavime o dvoch zasadne inych veciach. Ano v specifickych pripadoch ti pomozu techniky na zmensenie adresneho priestoru, ano niektore adresy budu na tom hit liste. Ale tiez plati, ze je vela sieti kde ti nepomoze ani jedno ani druhe a proste ju nevies v realnom case prescanovat.

Presne to iste tvrdi aj ten clanok a ukazuje pripady kedy vies pomerne jednoducho prehladavat IPv6 siet. Ale vzdy pritom spolieha na specificku konfiguraciu. (niekedy viac, niekedy menej beznu)

Napriklad ten hit list obsahuje cca 1 miliardu adries. Pri sucasnej adopcii IPv6 tam nie je zhruba polovica zariadeni ktore by statisticky mali mat IPv6.

Teoretizujete tu fakt hezky, jenze ono na shadowserveru mimo jine maji i report se SLP dostupnych po IPv6 ;-) Stejne tak tam maji hromadu dalsich scanu se zamerenim na IPv6.

Vdaka za link. A teraz mi prosim vysvetli ako to popiera to co som pisal?

Sdilite tu sve nicim nepodlozene dojmy a ocekavate, ze vam je bude nekdo vyvracet. Mic je na vasi strane, zkuste sve pocity necim relevatnim dolozit :-) Napriklad: "je vela sieti" - zdroj pro toto tvrzeni?

Tvoj vlastny link? Ak vezmem IPv6 adoption niekde medzi 30% az 40%, tak ten IPv6 hit list neobsahuje ani polovicu aktivne pouzivanych adries. A to ani nehovorim o tom, ze na ICMP im tam odpoveda necelych 8M adries - to je ani nie jeden /8 IPv4 rozsah..

Tak prosim, stale cakam odpoved na svoju otazku.

Davat do korelace cisla z IPv6 adoption od Google s tim, co vzejde ze scanu zamerenych na dostupne sluzby, to je jak kdyz pejsek s kocickou vari dort :-) I metodiky zisku dat se lisi, aneb srovnavate nesrovnatelne.

A je videt, ze je nad vase schopnosti drzet diskuzi v kontextu - zacal jste tu tim, jak je problematicke najit SLP otevrene na IPv6, ze pry to potrva 400 tisic let. A tento evidentni blabol byl vyvracen, seznam SLP dostupny po IPv6 uz davno existuje a necekal jste na nej zas tak dlouho. Presto sve nesmysly plynouci z neznalosti placate dal :-)

Ze je seznam treba i nekompletni je v kontextu teto diskuze naprosto irelevantni argument. Na uspesny odrazeny utok fakt nepotrebujete mit uplne vsechny derave stroje na svete. Zadny scan neni 100% presny a to plati i v pripade IPv4, i tam nektere veci muzou (a budou) chybet. A neni to jen o velikosti scanovaneho prostoru.

Mozno by si mi mohol prestat podsuvat nejake svoje nazory a zacat pozorne citat na co odpovedas.

A tiez by si mohol pozorne citat zdroje ktore tu linkujes. Ten hitlist je z velkej casti zalozeny na tom, ze na zaklade niektorych tych typickych technik pre zmensenie rozsahu scanovanych adries generuju adresy ktore by mohli patrit realnym zariadeniam. Fakt, ze cca jedno percento tych adries odpoveda na ping, alebo na jednu z popularnych sluzieb hovori sam za seba. Vela z tych adries co tam maju je realne nepouzita, alebo sa jedna o adresy kde na rozsahu odpoveda nejaky firewall alebo ine zariadenie, ale logicky velmi mala cast rozsahu sa realne pouziva. Cize ano, maju miliardu adries v zozname a vela, mozno vacsina je statisticky generovana. A aj napriek tomu tam vacsina realne pouzivanych IPv6 adries nie je.

To ze mas zoznam par zariadeni s IPv6 na SLP liste je sice pekne, ale stale nevidim ako to popiera cokolvek z toho co som pisal. Tych 400k rokov bol priklad pre kompletny scan jedineho /64 rozsahu. S hitlistom mozes prescanovat malu cast IPv6 adresneho priestoru a zachytit par SLP zariadeni, ale to nie je to iste ako scan celeho IPv4 Internetu. S pouzitim hitlistu vacsinu realne pouzivanych IPv6 adries neoscanujes.

Az na to, ze na ShadowServeru nepouzivaji jenom ten hitlist, kdyz uz tu zvatlate o pozornem cteni ;-) Tech technik a zdroju pouzivaji taky ponekud vic a kombinuji se - a to vcelku uspesne.

Kriterium tupeho proscanovani celeho adresniho prostoru jste si vsunul vy sam - jenze ono je to v prakticke rovine nesmysl - a uspesnost, co se zachytu zivych stroju, na kterych bezi nejake sluzby to jen dokazuje. Pracuje se mj. s pravdepodobnosti - a tady plati, ze kuprikladu SLP vysoce pravdepodobne proste nebude na necem, kde si zapnete IPv6 privacy extensions (a i kdyby bylo, par takovych nezachycenych exotu nikoho trapit nebude; jak uz jsem psal vyse u podobnych scanu neni podstatne podchytit 100% moznych obeti).
Dost pravdepodobne tam nebude ani modifikovane EUI64 identifikatory - ale i tady uz jsou techniky, kterak scanovane portfolio dosti zredukovat, kdyz vim po cem jdu (napr. tiskarny konkretniho vendora) - protoze jednotlive OUI bloky uz zas tak velke nejsou a jsou predem zname, ze? Aneb na nalezeni vsech HP tiskaren v jedne /64 mi staci 12 hodin a jinymi technikami muzu predem vyloucit subnety, kde to ani nebudu zkouset (potazmo i nektera OUI, pokud treba cilim na pet let stary HW). A to se nebavime o vendorech typu Honeywell, kteri tech OUI maji jen par a zhusta recykluji (tam muze byt clovek hotovy za hodinu a neco).

Ze vy si predstavujete scany v IPv6 jako tupe a bezmyslenkovite prochazeni adresy po adrese fakt neni muj problem. Vase tisice let se v praktickem zivote proste nekonaji, takhle to nikdo pricetny nedela a delat nebude. Jak uz jsme psal vyse, snazite se to tu hloupe umlatit preudovypocty s 2^N, ale takhle by to scanoval fakt jen blazen. Mozna zkuste namisto premysleni o tom, jak to pry nejde zacit dumat nad zpusoby, jak efektivne dosahnout sledovaneho cile :-) Protoze potencialni utocnik hleda zpusoby, jak dosahnout vysledku a nevzda to jen proto, ze vy jste tu napsal svuj slint o tom, ze to je na 400 tisic let - zjevne jen proto, ze zvladnete jenom zakladni pocty kolem 2^N. Koukate na problematiku ciste matematicky a to je proste fail.

Cize chapem to spravne, ze na moje tvrdenie, ze hladanie SLP sluzby v ramci IPv6 /64 siete moze byt netrivialne mi davas protiargument, ze konkretny subset starych HP tlaciarni vies najst do par hodin a ten zvysok ta nezaujima?

Nejak nechapem, ze o co ti vlastne ide. Stale mi tu podsuvas, ze v konkretnych pripadoch vies najst konkretne zariadenia velmi rychlo a nemam pocit, ze by som ti toto niekde rozporoval. Tak neviem, preco to stale spominas.

Diskuze je celou dobu o tom, ze vas bombasticky vykrik o tom, ze jedina /64 IPv6 siet ti bude trvat vyse 400k rokov je kardinalni blbost. Protoze tak, jak vy o tom premyslite to rozhodne nikdo v realnem svete delat nebude. Cemu stale nerozumite, ze stale mate potrebu tu svou kardinalni blbost opakovat? :-)

Samozrejme ze to nikto robit nebude, trvalo by to prilis dlho. Tvrdim snad niekde nieco ine? Fakt je, ze scanovanie IPv6 je netrivialna zalezitost (co je mimochodom presne co pisem v tom komentari co si linkol) a vsetky tvoje linky hovoria v principe to iste - musis pouzivat hitlisty a kdejaku heuristiku aby si zredukoval adresny priestor a nasiel mozno nejaky subset zariadeni ktore maju specificku konfiguraciu.

Tady si fakt nekdo nevidi do vlastni pusy - tak cituji: "jedina /64 IPv6 siet ti bude trvat vyse 400k rokov", ne nebude a sam tu nakonec i pisete proc to v realu tak dlouho trvat nebude. Ale chapu, ze vase ego vam nedovoli priznat, ze jste se v tomto svem radobysenzacnim zaveru proste pomylil, u lidu vasi narodnosti je to celkem bezna feature :-)

Cize chapem spravne, ze si moju vetu o tom ako nieco bude trvat 400k rokov pochopil tak ze tvrdim ze to niekto tak realne bude robit?

Samozrejme ze nebude. To je presne to co pisem. Nikdy som nic viac netvrdil, to len ty si sa z nejakeho dovodu rozhodol rozporovat neexistujuce tvrdenie. Ja tvrdim, ze /64 sa proste cela oscanovat neda. To ze v niektorych pripadoch mozes pouzit heuristiku ktora ti ten adresny priestor zmensi na rozumnu velkost je ina zalezitost a aj v tomto pripade sa da pouzit len s akceptovanim toho ze vela cielov proste nenajdes.

A on s tim blabolenim proste neprestane, a sam pouziva argumenty stojici na hlinenych nohou :-) Cela veta "len s akceptovanim toho ze vela cielov proste nenajdes je v kontextu teto diskuze o vyhledavani stroju se zapnutym SLP nesmysl. Naopak, tam je i pri pouziti heurestickych metod vysoce nepravdepodobne, ze bych vela cielov minul.

Tak prosim, spustil som openslp. Na IPv6 port 427 UDP nie je blokovany firewallom. Ako by si postupoval aby si takuto sluzbu nasiel? Cisto teoreticky staci.

Jakoze kdyz minu vas pocitac, tak minu vela cielov? :-) Jakou blbost tam mate dal?

Kludne by som ti tych pocitacov spustil aj 10000, ale boli by to vyhodene peniaze lebo vies najst iba HP tlaciarne.

Takze sa mozeme tvarit, ze tych 10k strojov akoze bezi. A ty sa mozes tvarit, ze jedine SLP co kedy kde bezalo bolo na tlaciarni HP.

Jasne, ono pri smysluplnem heurestickym omezenim na smysluplna modifikovana EUI64 nic jineho nenajdu. Zatim jedine, co jste tu predvedl je prehlidka nerealistickych fantasmagoris­tickych scenaru odtrzenych od reality, kdy se maximalne vynecha par cilu nejakeho namachrovaneho slovaka, co musi mit za kazdou cenu pravdu :-) Statisticky zcela bezvyznamne mnozstvi, zadne minuti vela cielov se nekona.

Proste jen periodicky dokazujete sve odtrzeni od reality sveta venku. Takovy akademicky zvanil, ze :-) To ze si u sebe vymyslite nejakou obskurdni konfiguraci ale absolutne nic nedokazuje. Drtiva vetsina lidi nic takoveho delat nebude. A pro vytvoreni portfolia pro generovani odrazenych a az 2200x zesilenych utoku fakt neni potreba najit uplne vsechny derave stroje na svete vc. tech vasich obscurit, takze zadnych vasich n-krat 400 tisic let se konat nebude, ty seznamy otevrenych SLP na IPv6 ostatne uz davno existuji.

Mozno by si mohol prestat s osobnymi invektivami a poslat radsej svoje nadupane CV tym amaterom v Shadowserver, lebo zjavne im chybaju tvoje schopnosti.

Ako tak pozeram na statistiky niektorych ich scanov, vyzera ze to tvoje bezvyznamne mnozstvo je u nich nejake velke.

Napriklad take http_vulnerable ma v USA 213k hits FR takmer 30k hits, Nemecko takmer 60k a Cina 66k. Naproti tomu http_vulnerable6 ma v USA 1k hits, FR 1.5k hits, Nemecko takmer 1.7k a Cina 156.

Statisticky zcela bezvyznamne mnozstvi. Asi vynechali par cilu nejakeho namachrovaneho slovaka - konkretne pre Slovensko cca 96%. Asi sme s tou adopciou IPv6 velmi pozadu, ze?

A to ma jako dokazat, ze vela cielov nenasli? :-) A nebo je to proste zpusobene tim, ze temi vulnerable jsou predevsim stare neaktualizovane vraky, kde na strane serverovych sluzeb IPv6 nikdo proste ani neresil? Vas argument, ze vela cielov nenasli stoji na hlinenych nohach, at se drzime terminologie, ktere aspon trosku rozumite.

Ano to bude urcite tym, ze v Cine vsetci s IPv6 zaplatuju svoje servery na rozdiel od tych 66k IPv4 luzrov, co to nerobia. To znie naozaj pravdepodobne. V krajine s najvacsim poctom IPv6 adries na svete preto nasli len 156 zranitelnych serverov.. Som rad, ze si mi to vysvetlil, lebo toto by mi naozaj nenapadlo.

Jasne, zrovna tam ty vysledky ten jejich velky firewall ani trosku nezkresli :-)

Ano samozrejme mas pravdu, nastastie pri IPv4 ten svoj firewall nemaju. To sa dozvedame veci co?

Ale ja som si isty, ze to len ludia v Shadowserver nevedia ako sa to spravne robi, lebo potencialni utocnik hleda zpusoby, jak dosahnout vysledku a nevzda to jen proto, ze ja som tu napsal svuj slint o tom, ze to je na 400 tisic let.

Baron Prasil je proti vam naprosty bridil :-) Nikdo v demokratickem svete nevi, jak presne velky cinsky firewall funguje, ale vy tu s klidem vynesete zarucene zavery.
Jasne, lidi ze Shadowserveru se podobnym vecem venuji skoro dvacet let, ale tady nejaka slovenska anonymni nicka nas nezapomene poucit, ze tam jsou vlastne nezkuseni mamlasove a neumi svou praci. Vy jste fakt jen poutovy komediant.

Jediny kto tvrdi, ze su v Shadowserver mamlasove si ty. To ty tvrdis, ze vyhladavanie zranitelnych zariadeni pri pouziti heurestickych metod je vysoce nepravdepodobne, ze bych vela cielov minul. Ja som od zaciatku tvrdil ze to je netrivialna zalezitost a ostatne statistiky z ich stranky to povrdzuju. Vyhladavat zjavne vies, tak si najdi definiciu "netrivialny".

V USA maju ani nie 0.5% cielov na zozname oproti IPv4. Asi tam tiez maju ten velky Cinsky firewall ze?

Nemas pravdu a vies to odkedy si zacal s osobnymi invektivami. Jedine co si priniesol do diskusie je to ze mi podsuvas co som nepovedal a potom sa to snazis akoze negovat. Myslim, ze si na to vystacis sam, takze ak ma ospravedlnis, ja sa uz dalej tejto tvojej hry nezucastnim.

A kdepak ja rikam, ze v Shadowserveru jsou mamlasove? :-) Jedinej, kdo tu tvrdil ze nevedia ako sa to spravne robi je nejaky namachrovany slovak, co si viditelne ani nevidi do vlastni huby.