Vlákno názorů k článku Omezte broadcastový šum protokolu ARP na síti s veřejnými adresami od Danny - S negativni cache pro IPv6 neighbor discovery to...

  • Článek je starý, nové názory již nelze přidávat.
  • 6. 2. 2024 8:38

    Danny
    Stříbrný podporovatel

    S negativni cache pro IPv6 neighbor discovery to tak jednoduche nebude. Aneb i tech potencialnich 2^64 zaznamu v pameti neco sezere. A samozrejme na toto samozrejme existuji i cilene utoky. Zrovna tady je jednodussi to resit jinak nez u IPv4, tu negativni informaci v cache proste nemit a adresu, ktera neodpovida co nejrychleji zapomenout - nez kvuli "par" usetrenym paketum do wifiny nechat padnou router na nedostatek pameti :-) Soucasne se vetsinou omezuje pocet soubeznych nezodpovezenych dotazu (nebo pamet pro ne vyhrazena).

  • 6. 2. 2024 10:06

    Ondřej Caletka
    Zlatý podporovatel

    U IPv6 dává naopak smysl jen pozitivní cache. Speciálně v prostředích jako je Wi-Fi není vůbec potřeba multicastové zprávy NDP šířit. Přístupový bod má přehled o všech klientech a kdykoli si kterýkoli klient nastaví novou IPv6 adresu, musí provést detekci duplicitních adres, tím se o každé adrese dozví i přístupový bod.

    Každý přístupový bod má tedy přesný seznam všech IPv6 adres všech klientů, které jsou jeho prostřednictvím dostupné a může klidně odbavovat příslušné zprávy protokolu NDP sám.

    Některá Wi-Fi řešení to tak dělají. Pozná se to například tak, že mají arbitrární limit počtu IPv6 adres na klienta (třeba 8 - to je ostatně jedna z motivací za skoroRFC PD per device), nebo že v takové síti nefungují adresy které v rozporu s protokolem detekcí duplicit neprošly.

  • 6. 2. 2024 10:26

    Danny
    Stříbrný podporovatel

    Ja reagoval na to hledani ipv6 ekvivalentu k arpd. Ano, je to zbytecne ho vubec hledat :-) A neni divu, ze takovou blbost se nikdo implementovat nesnazi.

    Jinak samozrejme to dozvidani se o klientovi skrze DAD ma taky sve limity - tu informaci tam nebudes chtit drzet vecne, ostatne i neighbor cache nekdy expiruje. A samozrejme jsou legitimni stavy, kdy klient toho jinak moc ven neposle a proste jen prijima data - aneb to parovani muze zmizet. A opet to muze byt vektor utoku - klient, co si prilis casto meni adresu ti opet muze opet vycerpat zdroje (kterych na typickem hardware pro AP nebyva na rozdavani). Ten limit co zminujes je mj. obranou proti tomuto (samozrejme umysl je jedna vec, prakticka implementace a jeji nedomysleni vec druha) - aneb zrovna ty "konferencni" (potazmo verejne site vubec) site muzou byt mj. lakadlem pro ruzne zaskodniky.

  • 6. 2. 2024 11:29

    Ondřej Caletka
    Zlatý podporovatel

    Máš pravdu. To dozvídání o nové adrese pomocí DAD je jen pro prvotní zjištění, že se v síti objevila nová adresa. Jakmile AP tuhle informaci má, může použít normální NDP pro periodické zjišťování, zda daná adresa stále žije. Protože ale AP už zná, který klient danou adresu má mít, není vůbec nutné posílat tyhle výzvy multicastem.