Группа "The Hacker's Choice" выпустила релиз пакета THC-IPV6 2.0 (http://www.thc.org/thc-ipv6/), включающего в себя набор утилит для проверки безопасности сетей IPv6 и оценки слабых мест протоколов IPv6 и ICMPv6. В состав пакета также входит упрощённый аналог библиотеки libnet (http://packetfactory.openwall.net/projects/libnet/), позволяющий формировать и отправлять произвольные IPv6-пакеты. Исходные тексты THC-IPV6 распространяются под лицензией GPLv3.
В состав входит (http://www.thc.org/thc-ipv6/README) около 50 утилит, реализующих готовые алгоритмы проведения атак, позволяющих осуществлять подстановку пакетов (спуфинг), организовывать внедрение промежуточных шлюзов (man-in-the-middle), сканировать параметры хостов, анонсировать фиктивные маршруты, осуществлять редирект трафика, инициировать отказ в обслуживании, эксплуатировать уязвимости в конкретных IPv6-стеках, отправлять специально скомпонованные пакеты и т.п.URL: https://twitter.com/hackerschoice/status/256273311242256384
Новость: https://www.opennet.ru/opennews/art.shtml?num=35083
Кстати, кто-нибудь уже эксплуатирует в серьёзных масштабах IPv6? Никаких серьёзных косяков не обнаруживается?
> Кстати, кто-нибудь уже эксплуатирует в серьёзных масштабах IPv6?YouTube.
>> Кстати, кто-нибудь уже эксплуатирует в серьёзных масштабах IPv6?
> YouTube.И что насчёт косяков? Первый вопрос был скорее вступлением для второго, чтобы узнать насколько это целесообразно.
Плюс прошу простить, но youtube для меня не является использованием IPv6 в серьёзных масштабах, ибо это всего один ресурс видный по IPv6 [во внутренней сети там до сих пор может всё гоняться по IPv4]. А я говорю про более масштабное использование IPv6. Например, про выдачу каждому абоненту по своему IPv6-адресу или перевод всего межсерверного взаимодействия на IPv6... ну и т.п.
> но youtube для меня не является использованием IPv6 в серьёзных масштабах, ибо это всего один ресурс видный по IPv6Ага, несколько датацентров по всему миру, это конечно же один ресуос всего лишь.
> А я говорю про более масштабное использование IPv6
Мне кажется, без каких-либо наездов, что у вас никогда не будет в управлении ничего более или даже сопоставимого по масштабности, чем инфраструктура гугла.
>Например, про выдачу каждому абоненту по своему IPv6-адресу
Такого к сожалению нет и никогда не будет. Абонентам если и выдают, то сразу блоками по нескольку миллионов IPv6 адресов. Так что об одном можно лишь мечтать :)
>> но youtube для меня не является использованием IPv6 в серьёзных масштабах, ибо это всего один ресурс видный по IPv6
> Ага, несколько датацентров по всему миру, это конечно же один ресуос всего
> лишь.Я ж пояснил, что внутри там всё может и по IPv4 бегать. Чем они светят в паблик - ни о чём не говорит.
>> А я говорю про более масштабное использование IPv6
> Мне кажется, без каких-либо наездов, что у вас никогда не будет в
> управлении ничего более или даже сопоставимого по масштабности, чем инфраструктура гугла.См. выше.
>>Например, про выдачу каждому абоненту по своему IPv6-адресу
> Такого к сожалению нет и никогда не будет. Абонентам если и выдают,
> то сразу блоками по нескольку миллионов IPv6 адресов. Так что об
> одном можно лишь мечтать :)Извиняюсь, по инерции мышления выразился. "Например, про выдачу каждому абоненту своего блока IPv6".. :)
И всё-равно Вы не к тому придираетесь. Не Вы ведь это всё эксплуатируете? А меня именно косяки и сложности интересуют, а не названия проектов, использующих IPv6.
> Я ж пояснил, что внутри там всё может и по IPv4 бегать.Прогнозируют, что выдавить IPv4 из корпоративных сетей IPv6 вряд ли удастся, ибо это никому нафиг не нужно, т. к. всё и так работает, а приватных адресов и так валом.
/64 блок это несколько миллионов? ну-ну> Мне кажется, без каких-либо наездов, что у вас никогда не будет в управлении ничего более или даже сопоставимого по масштабности, чем инфраструктура гугла.
аналогично
у селектела вроде ipv6 в продакшене используется.
> И что насчёт косяков?Косяк в том, что у меня по IPv6 скорость канала меньше, чем по v4, от этого видео буфферится дольше. А, да, ещё они выдают картинку "Try again later", если видео ролик отсутствует в данном датацентре. Но после рефреша всё начинает воспроизводиться. Замечу, что это какое-то нововведение последних месяцев, и раньше такого не было.
Также по v6 отдаются google.com и facebook.com.
Использую в несерьезных масштабах. :) Тем не менее, приблизительно треть сетевого трафика идет по IPv6.
> Использую в несерьезных масштабах. :) Тем не менее, приблизительно треть сетевого трафика
> идет по IPv6.Ну тоже неплохо. :)
А какое сетевое оборудование у вас используется?
Да домашняя сетка - пара роутеров (OpenWRT), три компа(Win) и сервак(Fedora) с пачкой виртуалок (сайты/почта/ftp/прочая_хрень). Виртуалки - Scientific Linux/Debian/Win2k8 R2.Основные пожиратели IPv6 трафика - youtube и wsus-сервер (виртуалка). Может еще какие потребители есть, но я глубоко не копал - настраивал из спортивного интереса.
> Да домашняя сетка - пара роутеров (OpenWRT), три компа(Win) и сервак(Fedora) с
> пачкой виртуалок (сайты/почта/ftp/прочая_хрень). Виртуалки - Scientific Linux/Debian/Win2k8
> R2.
> Основные пожиратели IPv6 трафика - youtube и wsus-сервер (виртуалка). Может еще какие
> потребители есть, но я глубоко не копал - настраивал из спортивного
> интереса.Жаль. Меня в первую очередь интересует как справятся старые cisco с такими задачами. :)
Насколько старые?
> Насколько старые?Очень разные.
Но больше всего меня интересуют конкретно следующие железки:
Cisco IOS Software, s72033_rp Software (s72033_rp-ADVENTERPRISEK9_WAN-M), Version 12.2(33)SXJ, RELEASE SOFTWARE (fc3)
...
WS-C6506-ECisco IOS Software, C3750 Software (C3750-IPSERVICES-M), Version 12.2(35)SE5, RELEASE SOFTWARE (fc1)
...
WS-C3750G-24TS-1UCisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(35)SE5, RELEASE SOFTWARE (fc1)
...
WS-C2960G-24TC-LFWSM Firewall Version 4.0(4)
Device Manager Version 6.1(2)F
...
WS-SVC-FWM-1
> 12.2(33)SXJ, WS-C6506-EКлиент использует SXI7, вроде жив пока (что они с IPv6 делают не смотрел).
На 7600 проверяем 15.2.x, но это потому что нужен IPv6 PBR.> 12.2(35)SE5, WS-C3750G-24TS-1U, WS-C2960G-24TC-L
Этому софту 5 лет с хвостом. Почти наверняка засветился в нескольких PSIRT bundles (исключая последний -- там только всякое новьё). При обращении в техподдержку почти наверняка найдут какой-нибудь подходящий баг и предложат обновлять софт.
(2960 -- а на нём-то что от IPv6 нужно? Адрес на management VLAN?)
> FWSM Firewall Version 4.0(4)Производительность просядет.
А вообще, у Cisco услуга такая есть: "IPv6 readiness assessment"
> Меня в первую очередь интересует как справятся старые cisco с такими
> задачами. :)даже в многих новых, производительность ipv6 в 2 раза ниже
>> Меня в первую очередь интересует как справятся старые cisco с такими
>> задачами. :)
> даже в многих новых, производительность ipv6 в 2 раза нижеТ.е. если оборудование немного захлёбывается на IPv4, то в IPv6 лучше вообще не соваться? :)
Зависит от конкретной железки, но скорее всего так и есть.
> пакет для исследования безопасности сетей IPv6Что, всех трёх?
Качаю торенты только по v6, успешно
> Качаю торенты только по v6, успешноВас уже вычислили.
только брокер ^_^ в польше