Teredo: вопрос о протоколе (динамический ip такой динамический)

Любые разговоры которые хоть как-то связаны с тематикой форума

Модератор: Модераторы разделов

strephil
Сообщения: 47
ОС: GNU

Teredo: вопрос о протоколе

Сообщение strephil »

Даже если адрес NAT'a и UDP-порт остаются неизменными, ряд реализаций протокола Teredo осуществляют регулярную (раз в несколько минут) «рандомизацию» используемого IPv6 адреса (65-79 байты). Зачем?

RFC 4380 ( ”Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)”)
никакой рандомизации не предполагает. Написано, что ряд битов должен быть нулевым.

тут говорится уже о том, что клиент может устанавливать эти биты произвольно; зачем — не объясняется.

Википедия и Microsoft говорят о том, что такая рандомизация необходима для защиты от атак неведомых недоброжелателей…

Вот это мне не очень понятно. Какого рода опасность угрожает? Насколько велика она с постоянным адресом? Адекватна-ли цена — абсолютно хаотически изменяющийся адрес — которую, приходится платить, чтобы защититься от этой угрозы?

Не было ни одного разрыва…

что-то меня тянет хакнуть miredo и выкинуть эту самую рандомизацию, получить статический адрес?
(Как я понимаю, это где-то тут miredo-1.2.2/libteredo/maintain.c:

Код: Выделить всё

365
/* 12-bits Teredo flags randomization */
365                     newst.addr.teredo.flags = c_state->addr.teredo.flags;
366                         if (!IN6_ARE_ADDR_EQUAL (&c_state->addr.ip6, &newst.addr.ip6))
367                         {
368                                 uint16_t f = teredo_get_flbits (deadline.tv_sec);
369                                 newst.addr.teredo.flags =
370                                         f & htons (TEREDO_RANDOM_MASK);
371                         }


зная, что тут есть IPv6-энтузиасты и знатоки всякого с ним связанного, надеюсь получить какое-то объяснение…
Спасибо сказали:
Вернуться к началу
Аватара пользователя
rm_
Сообщения: 3340
Статус: It's the GNU Age
ОС: Debian

Re: Teredo: вопрос о протоколе

Сообщение rm_ »

зачем — не объясняется.

Сложно сказать, зачем они это делают. Вопрос из той же оперы - почему Винда (Teredo ведь тоже разработан в Microsoft) по умолчанию стремится использовать privacy addresses (v6-адреса, сделанные из рандомного мусора, а не из mac'ов), а свободные системы - нет. Видимо среди разработчиков последних как-то больше распространено мнение, что security through obscurity - не лучший вид security.
Если Вам нужен неизменный адрес, вместо Teredo попробуйте другие виды туннелей. Если Teredo изначально выбрали из-за необходимости преодолевать совсем уж клинический ISP'шный NAT, можно обратить внимание на брокеров go6 или Sixxs, они тоже поверх обычного UDP умеют работать. Если же провайдерского NAT не имеется, HE.net либо 6to4 работать будут гораздо лучше, чем Teredo.
Спасибо сказали:
Вернуться к началу

Вернуться в «Прочие тематические беседы»