Parsen von IPv6-Erweiterungsheadern, die unbekannte Erweiterungen enthalten

Schreibe ich eine sehr einfache Netto-filter, und immer, wo ich will, um zu analysieren IPv6-Header übereinstimmen Dinge wie ICMPv6-Typen, TCP/UDP-port-Nummern, etc.

So, ich bin beim Lesen über die IPv6 Paket format in die Tiefe, und ich bin ein bisschen wie... naja... ich habe irgendwie gelesen hatte, es über und über erneut, um sicherzustellen, dass ich war tatsächlich Lesen es richtig.
Es scheint mir, dass Sie mit zu beginnen haben die 40-byte fixed-header und einen Blick auf seine next header-Feld. Dann haben Sie Blick auf das next header - Feld Nächster header, und so weiter, wie eine verknüpfte Liste, bis Sie das Ende erreichen. Wenn es die Nutzlast, wird es Folgen.

Das problem ist, dass es gibt keine Länge-Feld entweder in den festen Kopf oder das extension-Header. Sie haben eine Tabelle der extension header Typen und deren Größen, so dass Sie jagen diese Link-Liste am Ende.

Dies erscheint mir als eine seltsame, vielleicht auch eigenwilligen design. Was ist, wenn ich auf eine unbekannte extension-header geben? Was muss ich tun? Ich weiß nicht, seine Länge. Ich glaube, ich habe zu werfen das Paket aus und blockieren es, da in ein Netz-filter, so dass das Paket durch die ein Angreifer zu entziehen, das Netz filtern, indem Sie eine gefälschte header-Typ. Aber das bedeutet, dass, wenn das Protokoll wird immer erweitert, jedes einzelne Stück des IPv6-header-parsing-software, die jemals geschrieben werden müssen gleichzeitig aktualisiert, wenn die neue Erweiterung verwendet werden.

Also, wie kann ich analysieren, IPv6-Header, wenn ich nicht weiß die Erweiterungen Sie verwenden? Wie kann ich direkt einen header für eine unbekannte Erweiterung, da ich nicht weiß, seine Länge?

Kommentar zu dem Problem
Basierend auf dieser Frage, wie es aussieht bin ich nicht dumm, und ja ich lese diese Recht: es ist (in der realen Welt) unmöglich zum hinzufügen einer neuen extension header in IPv6. stackoverflow.com/questions/9847923/... Kommentarautor: AdamIerymenko
Und ja, es auch scheint, dass computing-header-Länge erfordert eine verknüpfte Liste traversal: stackoverflow.com/questions/14762193/... versteh mich nicht falsch. IPv6 ist genial und dringend erforderlich. Aber das scheint immer noch Knochen-geleitet. Kommentarautor: AdamIerymenko
Die Skillung (der Link im oberen Kommentar) sagt-Router sind eigentlich nicht Blick auf den Header, so sollte sich keine Gedanken, was Headern, die Sie hinzufügen. Nur die Ziel-Knoten Aussehen soll auf dem Header. Kommentarautor: Anders E. Andersen
Nur eine Anmerkung: "Haar-brained" ist eine ziemlich verwirrende Schreibweise, und "hare-brained" bevorzugt werden sollten (Quelle: tfd) Kommentarautor: pzkpfw
Soweit gibt es nur eine richtige Schreibweise, die "hare-brained'. Kommentarautor: Alan B

InformationsquelleAutor der Frage AdamIerymenko | 2013-07-08

  1. 34

    Wenn Sie laufen in etwas, das man nicht analysieren kann, müssen Sie Ihre Entscheidung treffen, oder führen Sie Ihre Aktion basierend auf dem, was Sie haben bereits analysiert.

    Das design ist so, weil in IPv6 jede extension header "Packungen" den rest des Pakets. Wenn Sie den routing-header, dann ein paar header, die Sie noch nie gehört haben, dann wird die Nutzlast, dann kann man nicht Parsen der Nutzlast. Die Bedeutung der Nutzlast richtet sich im Prinzip auf den Kopf-Sie weiß nicht, wie zu interpretieren.

    Router verlegen können solche Pakete, weil alles, was Sie brauchen, ist die routing-header. Deep packet inspection-Geräte und dergleichen müssen eine Menge zu wissen, aber das ist dann Ihr Schicksal sowieso.

    Bearbeitet, um hinzufügen: Dieses design bedeutet, dass middleboxes können nur ändern, was Sie wissen. Wenn eine middlebox sieht ein Kopf-Sie weiß es nicht, dann hat es nur zwei Optionen: Ablehnen oder weitergeben. In IPv4, könnte es auch entfernen, das unbekannte Erweiterung und pass auf den rest. IMO diese Eigenschaft macht das design eher mehr als weniger erweiterbar.

    InformationsquelleAutor der Antwort arnt

  2. 96

    Was ist, wenn ich auf eine unbekannte extension-header geben?

    Vom RFC 2460:

    Wenn, als ein Ergebnis der Verarbeitung einen Kopf, einen Knoten wird benötigt, um fortzufahren
    auf den nächsten header, aber der Nächste Header-Wert in die aktuelle header ist
    unerkannt durch den Knoten, sollte es verwerfen das Paket und senden Sie eine
    ICMP-Parameter-Problem-Nachricht an die Quelle des Pakets    , mit einem
    ICMP-Code-Wert von 1 ("unbekanntes Next Header Typ begegnet ist")
    und die ICMP-Zeiger-Feld mit dem offset-der unbekannte
    Wert innerhalb des ursprünglichen Pakets. Die gleichen Maßnahmen sollten ergriffen werden, wenn
    ein Knoten auf einen Next Header Wert von null in jedem anderen header
    als eine IPv6-header.

    InformationsquelleAutor der Antwort Oliver Charlesworth

  3. 28

    Ist es (in der realen Welt) unmöglich zum hinzufügen einer neuen extension header IPv6.

    Falsch, weil:

    1. Nur der Ziel-host erlaubt ist zu verwerfen, die basierend auf unbekannte Header-Erweiterungen (mit einer Ausnahme erwähnt in die Frage, die Sie verlinkten)

    2. Wenn Ihr neue header extension ist optional (es musste besser sein), erhalten Sie eine ICMP-Fehlermeldung darüber und können es erneut versuchen, ohne es.

    InformationsquelleAutor der Antwort Andreas Klöckner

  4. 4

    Update RFC 6564 deckt in diesem Fall. Es legt genau das Szenario, das Sie beschreiben, und legt ein format für jede neue extension-Header (falls überhaupt definiert), die middleboxes wie Ihr werden in der Lage sein, mit zu arbeiten, zumindest für einige Zeit.

    Beachten Sie, dass es ist nicht beabsichtigt, zu erweitern, IPv6-durch die Schaffung neuer extension-Header, aber durch das hinzufügen von neuen Ziel-Optionen. Es sollte trivial sein, oder zumindest viel einfacher für Sie mit unbekanntem Ziel Optionen.

    InformationsquelleAutor der Antwort Michael Hampton

Schreibe einen Kommentar