有害と見なされるIPv6原子フラグメントの生成
英文を機械翻訳で日本語訳としています。日本語訳が正しくないことが考えられますので原文をメインとし、参考程度にご利用ください。
日本語訳
Internet Engineering Task Force (IETF) F. Gont
Request for Comments: 8021 SI6 Networks / UTN-FRH
Category: Informational W. Liu
ISSN: 2070-1721 Huawei Technologies
T. Anderson
Redpill Linpro
January 2017
Generation of IPv6 Atomic Fragments Considered Harmful
有害と見なされるIPv6原子フラグメントの生成
Abstract
概要
This document discusses the security implications of the generation of IPv6 atomic fragments and a number of interoperability issues associated with IPv6 atomic fragments. It concludes that the aforementioned functionality is undesirable and thus documents the motivation for removing this functionality from an upcoming revision of the core IPv6 protocol specification (RFC 2460).
このドキュメントでは、IPv6アトミックフラグメントの生成によるセキュリティへの影響と、IPv6アトミックフラグメントに関連する多数の相互運用性の問題について説明します。 前述の機能は望ましくないため、コアIPv6プロトコル仕様(RFC 2460)の今後のリビジョンからこの機能を削除する動機が文書化されています。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはInternet Standards Trackの仕様ではありません。 情報提供を目的として公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 7841.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。 これは、IETFコミュニティのコンセンサスを表しています。 公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補になるわけではありません。 RFC 7841のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc8021.
このドキュメントの現在のステータス、エラッタ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc8021で入手できます。
Gont, et al. Informational [Page 1] RFC 8021 IPv6 Atomic Fragments Considered Harmful January 2017 Copyright Notice
著作権表示
Copyright (c) 2017 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2017 IETF Trustおよびドキュメントの作成者として識別された人物。 全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。 これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。 このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
1. Introduction ....................................................2
2. Security Implications of the Generation of IPv6 Atomic
Fragments .......................................................3
3. Additional Considerations .......................................5
4. Conclusions .....................................................8
5. Security Considerations .........................................8
6. References ......................................................9
6.1. Normative References .......................................9
6.2. Informative References ....................................10
Acknowledgements ..................................................12
Authors' Addresses ................................................12
1. はじめに ..................................................... 2
2. IPv6原子フラグメントの生成のセキュリティへの影響 ............. 3
3. その他の考慮事項 ............................................. 5
4. 結論 ......................................................... 8
5. セキュリティに関する考慮事項 ................................. 8
6. 参考資料 ..................................................... 9
6.1. 規範的な参照 ............................................ 9
6.2. 有益な参照 ............................................. 10
謝辞 ........................................................... 12
著者のアドレス ................................................. 12
1. Introduction
1.はじめに
[RFC2460] specifies the IPv6 fragmentation mechanism, which allows IPv6 packets to be fragmented into smaller pieces such that they can fit in the Path MTU to the intended destination(s).
[RFC2460]はIPv6フラグメンテーションメカニズムを指定します。これにより、IPv6パケットを目的の宛先へのパスMTUに収まるように小さな断片にフラグメント化できます。
A legacy IPv4/IPv6 translator implementing the Stateless IP/ICMP Translation Algorithm [RFC6145] may legitimately generate ICMPv6 "Packet Too Big" (PTB) error messages [RFC4443] advertising an MTU smaller than 1280 (the minimum IPv6 MTU). Section 5 of [RFC2460] states that, upon receiving such an ICMPv6 error message, hosts are not required to reduce the assumed Path MTU but must simply include a Fragment Header in all subsequent packets sent to that destination. The resulting packets will thus *not* be actually fragmented into several pieces; rather, they will be "atomic" fragments [RFC6946] (i.e., they will just include a Fragment Header with both the "Fragment Offset" and the "M" flag set to 0). [RFC6946] requires that these atomic fragments be essentially processed by the destination host(s) as non-fragmented traffic (since there are not Gont, et al. Informational [Page 2] RFC 8021 IPv6 Atomic Fragments Considered Harmful January 2017 really any fragments to be reassembled). The goal of these atomic fragments is simply to convey an appropriate Identification value to be employed by IPv6/IPv4 translators for the resulting IPv4 fragments.
ステートレスIP / ICMP変換アルゴリズム[RFC6145]を実装するレガシーIPv4 / IPv6トランスレータは、1280(最小IPv6 MTU)より小さいMTUを通知するICMPv6 "Packet Too Big"(PTB)エラーメッセージ[RFC4443]を合法的に生成する場合があります。 [RFC2460]のセクション5は、そのようなICMPv6エラーメッセージを受信した場合、ホストは想定されるパスMTUを削減する必要はなく、その宛先に送信される後続のすべてのパケットにフラグメントヘッダーを含める必要があると述べています。 したがって、結果のパケットは実際にはいくつかの断片に断片化されません。むしろ、それらは「アトミック」フラグメントになります[RFC6946](つまり、「フラグメントオフセット」と「M」フラグの両方が0に設定されたフラグメントヘッダーのみが含まれます)。 [RFC6946]は、これらのアトミックフラグメントが基本的にはフラグメント化されていないトラフィックとして宛先ホストによって処理されることを要求します(再構成するフラグメントは実際にはないため)。 これらのアトミックフラグメントの目的は、IPv6 / IPv4トランスレーターがIPv4フラグメントを生成するために使用する適切な識別値を伝えることです。
While atomic fragments might seem rather benign, there are scenarios in which the generation of IPv6 atomic fragments can be leveraged for performing a number of attacks against the corresponding IPv6 flows. Since there are concrete security implications arising from the generation of IPv6 atomic fragments and there is no real gain in generating IPv6 atomic fragments (as opposed to, for example, having IPv6/IPv4 translators generate an IPv4 Identification value themselves), we conclude that this functionality is undesirable.
アトミックフラグメントはどちらかというと無害に思えるかもしれませんが、対応するIPv6フローに対していくつかの攻撃を実行するためにIPv6アトミックフラグメントの生成を活用できるシナリオがあります。 IPv6アトミックフラグメントの生成から生じる具体的なセキュリティの影響があり、IPv6アトミックフラグメントを生成することには実質的な利益がないため(たとえば、IPv6 / IPv4トランスレーターがIPv4識別値を生成するのとは対照的に)、これは結論である 機能は望ましくありません。
Section 2 briefly discusses the security implications of the generation of IPv6 atomic fragments and describes a specific Denial-of-Service (DoS) attack vector that leverages the widespread dropping of IPv6 fragments in the public Internet. Section 3 provides additional considerations regarding the usefulness of generating IPv6 atomic fragments.
セクション2では、IPv6アトミックフラグメントの生成によるセキュリティへの影響について簡単に説明し、パブリックインターネットでのIPv6フラグメントの広範囲にわたるドロップを利用する特定のサービス拒否(DoS)攻撃ベクトルについて説明します。 セクション3では、IPv6アトミックフラグメントの生成の有用性に関する追加の考慮事項について説明します。
2. Security Implications of the Generation of IPv6 Atomic Fragments
2. IPv6原子フラグメントの生成のセキュリティへの影響
The security implications of IP fragmentation have been discussed at length in [RFC6274] and [RFC7739]. An attacker can leverage the generation of IPv6 atomic fragments to trigger the use of fragmentation in an arbitrary IPv6 flow (in scenarios in which actual fragmentation of packets is not needed) and can subsequently perform any type of fragmentation-based attack against legacy IPv6 nodes that do not implement [RFC6946]. That is, employing fragmentation where not actually needed allows for fragmentation-based attack vectors to be employed, unnecessarily.
IPフラグメンテーションのセキュリティへの影響は、[RFC6274]と[RFC7739]で詳細に説明されています。 攻撃者はIPv6アトミックフラグメントの生成を利用して、任意のIPv6フローでのフラグメンテーションの使用をトリガーでき(パケットの実際のフラグメンテーションが不要なシナリオで)、その後、レガシーIPv6ノードに対してあらゆるタイプのフラグメンテーションベースの攻撃を実行できます。 [RFC6946]を実装しないでください。 つまり、実際に必要でない場合にフラグメンテーションを使用すると、フラグメンテーションベースの攻撃ベクトルを不必要に使用することができます。
We note that, unfortunately, even nodes that already implement [RFC6946] can be subject to DoS attacks as a result of the generation of IPv6 atomic fragments. Let us assume that Host A is communicating with Host B and that, as a result of the widespread dropping of IPv6 packets that contain extension headers (including fragmentation) [RFC7872], some intermediate node filters fragments between Host B and Host A. If an attacker sends a forged ICMPv6 PTB error message to Host B, reporting an MTU smaller than 1280, this will trigger the generation of IPv6 atomic fragments from that moment on (as required by [RFC2460]). When Host B starts sending IPv6 atomic fragments (in response to the received ICMPv6 PTB error message), these packets will be dropped, since we previously noted that IPv6 packets with extension headers were being dropped between Host B and Host A. Thus, this situation will result in a DoS scenario.
残念ながら、すでに[RFC6946]を実装しているノードでさえ、IPv6アトミックフラグメントの生成の結果としてDoS攻撃を受ける可能性があることに注意してください。 ホストAがホストBと通信しており、拡張ヘッダー(フラグメンテーションを含む)[RFC7872]を含むIPv6パケットが広範囲にドロップされた結果、一部の中間ノードがホストBとホストAの間でフラグメントをフィルタリングすると仮定します。 攻撃者が偽造されたICMPv6 PTBエラーメッセージをホストBに送信し、MTUが1280未満であると報告すると、その瞬間からIPv6アトミックフラグメントの生成がトリガーされます([RFC2460]で要求されているとおり)。 ホストBがIPv6アトミックフラグメントの送信を開始すると(受信したICMPv6 PTBエラーメッセージに応答して)、これらのパケットは破棄されます。これは、拡張ヘッダー付きのIPv6パケットがホストBとホストAの間で破棄されることを先に述べたためです。 したがって、この状況はDoSシナリオになります。
Gont, et al. Informational [Page 3] RFC 8021 IPv6 Atomic Fragments Considered Harmful January 2017 Another possible scenario is that in which two BGP peers are employing IPv6 transport and they implement Access Control Lists (ACLs) to drop IPv6 fragments (to avoid control-plane attacks). If the aforementioned BGP peers drop IPv6 fragments but still honor received ICMPv6 PTB error messages, an attacker could easily attack the corresponding peering session by simply sending an ICMPv6 PTB message with a reported MTU smaller than 1280 bytes. Once the attack packet has been sent, the aforementioned routers will themselves be the ones dropping their own traffic.
別の可能なシナリオは、2つのBGPピアがIPv6トランスポートを使用しており、アクセスコントロールリスト(ACL)を実装してIPv6フラグメントをドロップする(コントロールプレーン攻撃を回避する)場合です。 前述のBGPピアがIPv6フラグメントをドロップしても、受信したICMPv6 PTBエラーメッセージを尊重する場合、攻撃者は、報告されたMTUが1280バイトより小さいICMPv6 PTBメッセージを送信するだけで、対応するピアリングセッションを簡単に攻撃できます。 攻撃パケットが送信されると、前述のルーター自体がトラフィックをドロップします。
The aforementioned attack vector is exacerbated by the following factors:
前述の攻撃ベクトルは、次の要因によって悪化します。
o The attacker does not need to forge the IPv6 Source Address of his
attack packets. Hence, deployment of simple filters as per BCP 38
[BCP38] does not help as a countermeasure.
攻撃者は、攻撃パケットのIPv6送信元アドレスを偽造する必要はありません。 したがって、BCP 38 [BCP38]に基づく単純なフィルターの展開は、対策として役立ちません。
o Only the IPv6 addresses of the IPv6 packet embedded in the ICMPv6
payload need to be forged. While one could envision filtering
devices enforcing filters in the style of BCP 38 on the ICMPv6
payload, the use of extension headers (by the attacker) could make
this difficult, if not impossible.
ICMPv6ペイロードに埋め込まれたIPv6パケットのIPv6アドレスのみを偽造する必要があります。 ICMPv6ペイロードにBCP 38のスタイルでフィルターを適用するフィルターデバイスを想定することもできますが、(攻撃者が)拡張ヘッダーを使用すると、不可能ではないにしても、これを困難にすることができます。
o Many implementations fail to perform validation checks on the
received ICMPv6 error messages as recommended in Section 5.2 of
[RFC4443] and documented in [RFC5927]. It should be noted that in
some cases, such as when an ICMPv6 error message has (supposedly)
been elicited by a connectionless transport protocol (or some
other connectionless protocol being encapsulated in IPv6), it may
be virtually impossible to perform validation checks on the
received ICMPv6 error message. And, because of IPv6 extension
headers, the ICMPv6 payload might not even contain any useful
information on which to perform validation checks.
[RFC4443]のセクション5.2で推奨され、[RFC5927]で文書化されているように、多くの実装は受信したICMPv6エラーメッセージの検証チェックを実行できません。 ICMPv6エラーメッセージが(おそらく)コネクションレス型トランスポートプロトコル(またはIPv6にカプセル化されている他のコネクションレス型プロトコル)によって引き出された場合など、一部のケースでは、 ICMPv6エラーメッセージを受信しました。 また、IPv6拡張ヘッダーのため、ICMPv6ペイロードには、検証チェックを実行するための有用な情報さえ含まれていない場合があります。
o Upon receipt of one of the aforementioned ICMPv6 PTB error
messages, the Destination Cache [RFC4861] is usually updated to
reflect that any subsequent packets to such a destination should
include a Fragment Header. This means that a single ICMPv6 PTB
error message might affect multiple communication instances (e.g.,
TCP connections) with such a destination.
前述のICMPv6 PTBエラーメッセージのいずれかを受信すると、宛先キャッシュ[RFC4861]は通常、そのような宛先への後続のパケットにフラグメントヘッダーを含める必要があることを反映するように更新されます。 つまり、1つのICMPv6 PTBエラーメッセージが、そのような宛先を持つ複数の通信インスタンス(TCP接続など)に影響を与える可能性があります。
o As noted in Section 3, SIIT (the Stateless IP/ICMP Translation
Algorithm) [RFC6145], including derivative protocols such as
Stateful NAT64 (Network Address and Protocol Translation from IPv6
Clients to IPv4 Servers) [RFC6146], was the only technology making
use of atomic fragments. Unfortunately, an IPv6 node cannot
easily limit its exposure to the aforementioned attack vector by
only generating IPv6 atomic fragments towards IPv4 destinations
Gont, et al. Informational [Page 4]
RFC 8021 IPv6 Atomic Fragments Considered Harmful January 2017
behind a stateless translator. This is due to the fact that
Section 3.3 of [RFC6052] encourages operators to use a
Network-Specific Prefix (NSP) that maps the IPv4 address space
into IPv6. When an NSP is being used, IPv6 addresses representing
IPv4 nodes (reached through a stateless translator) are
indistinguishable from native IPv6 addresses.
セクション3で述べたように、SIIT(ステートレスIP / ICMP変換アルゴリズム)[RFC6145]は、ステートフルNAT64(IPv6クライアントからIPv4サーバーへのネットワークアドレスおよびプロトコル変換)[RFC6146]などの派生プロトコルを含み、使用している唯一のテクノロジでした。 原子フラグメントの。 残念ながら、IPv6ノードは、ステートレストランスレータの背後にあるIPv4宛先に向けてIPv6アトミックフラグメントを生成するだけでは、前述の攻撃ベクトルへの露出を簡単に制限できません。 これは、[RFC6052]のセクション3.3が事業者にIPv4アドレス空間をIPv6にマップするネットワーク固有のプレフィックス(NSP)を使用することを推奨しているためです。 NSPが使用されている場合、(ステートレストランスレータを介して到達する)IPv4ノードを表すIPv6アドレスは、ネイティブIPv6アドレスと区別できません。
3. Additional Considerations
3.その他の考慮事項
Besides the security assessment provided in Section 2, it is interesting to evaluate the pros and cons of having an IPv6-to-IPv4 translating router rely on the generation of IPv6 atomic fragments.
セクション2で提供されているセキュリティ評価に加えて、IPv6からIPv4への変換ルーターがIPv6アトミックフラグメントの生成に依存することの長所と短所を評価することは興味深いことです。
Relying on the generation of IPv6 atomic fragments implies a reliance on:
IPv6アトミックフラグメントの生成に依存することは、以下に依存することを意味します。
1. ICMPv6 packets arriving from the translator to the destination
IPv6 node
1.トランスレータから宛先IPv6ノードに到着するICMPv6パケット
2. The ability of the nodes receiving ICMPv6 PTB messages reporting
an MTU smaller than 1280 bytes to actually produce atomic
fragments
2.実際にアトミックフラグメントを生成するために、1280バイト未満のMTUを報告するICMPv6 PTBメッセージを受信するノードの機能
3. Support for IPv6 fragmentation on the IPv6 side of the translator
3.トランスレータのIPv6側でのIPv6フラグメンテーションのサポート
4. The ability of the translator implementation to access the
information conveyed by the Fragment Header
4.フラグメントヘッダーによって伝えられた情報にアクセスするためのトランスレーター実装の機能
5. The value extracted from the low-order 16 bits of the IPv6
fragment header Identification field resulting in an appropriate
IPv4 Identification value
5. IPv6フラグメントヘッダーの識別フィールドの下位16ビットから抽出された値で、適切なIPv4識別値になります。
Unfortunately,
残念ながら、
1. There exists a fair share of evidence of ICMPv6 PTB error
messages being dropped on the public Internet (for instance, that
is one of the reasons for which Packetization Layer Path MTU
Discovery (PLPMTUD) [RFC4821] was produced). Therefore, relying
on such messages being successfully delivered will affect the
robustness of the protocol that relies on them.
1. ICMPv6 PTBエラーメッセージが公衆インターネットにドロップされたという証拠の公平な共有が存在します(たとえば、これがPacketization Layer Path MTU Discovery(PLPMTUD)[RFC4821]が作成された理由の1つです)。 したがって、そのようなメッセージが正常に配信されることに依存すると、それらに依存するプロトコルの堅牢性に影響します。
2. A number of IPv6 implementations have been known to fail to
generate IPv6 atomic fragments in response to ICMPv6 PTB messages
reporting an MTU smaller than 1280 bytes. Additionally, the
results included in Section 6 of [RFC6145] note that 57% of the
tested web servers failed to produce IPv6 atomic fragments in
response to ICMPv6 PTB messages reporting an MTU smaller than
Gont, et al. Informational [Page 5]
RFC 8021 IPv6 Atomic Fragments Considered Harmful January 2017
1280 bytes. Thus, any protocol relying on IPv6 atomic fragment
generation for proper functioning will have interoperability
problems with the aforementioned IPv6 stacks.
2.多くのIPv6実装は、ICMPv6 PTBメッセージが1280バイトより小さいMTUを報告するのに応答してIPv6アトミックフラグメントを生成できないことが知られています。 さらに、[RFC6145]のセクション6に含まれる結果は、テストされたWebサーバーの57%が、1280バイト未満のMTUを報告するICMPv6 PTBメッセージに応答してIPv6アトミックフラグメントを生成できなかったことを示しています。 したがって、適切に機能するためにIPv6アトミックフラグメント生成に依存するプロトコルは、前述のIPv6スタックとの相互運用性の問題を抱えています。
3. IPv6 atomic fragment generation represents a case in which
fragmented traffic is produced where otherwise it would not be
needed. Since there is widespread dropping of IPv6 fragments in
the public Internet [RFC7872], this would mean that the
(unnecessary) use of IPv6 fragmentation might result,
unnecessarily, in a DoS situation even in legitimate cases.
3.IPv6アトミックフラグメント生成は、フラグメント化されたトラフィックが生成され、それ以外の場合には必要とされない場合を表します。 パブリックインターネット[RFC7872]でIPv6フラグメントのドロップが広く行われているため、これは、IPv6フラグメンテーションの(不必要な)使用が、正当な場合でさえ、不必要にDoS状況を引き起こす可能性があることを意味します。
4. The packet-handling API at the node where the translator is
running may obscure fragmentation-related information. In such
scenarios, the information conveyed by the Fragment Header may be
unavailable to the translator. [JOOL] discusses a sample
framework (Linux Netfilter) that hinders access to the
information conveyed in IPv6 fragments.
4.トランスレータが実行されているノードのパケット処理APIは、フラグメンテーション関連の情報を不明瞭にする可能性があります。 このようなシナリオでは、フラグメントヘッダーによって伝えられた情報をトランスレータが利用できない場合があります。 [JOOL]は、IPv6フラグメントで伝達される情報へのアクセスを妨げるサンプルフレームワーク(Linux Netfilter)について説明します。
5. While [RFC2460] requires that the IPv6 fragment header
Identification field of a fragmented packet be different than
that of any other fragmented packet sent recently with the same
Source Address and Destination Address, there is no requirement
on the low-order 16 bits of such a value. Thus, there is no
guarantee that IPv4 fragment Identification collisions will be
avoided or reduced by employing the low-order 16 bits of the IPv6
fragment header Identification field of a packet sent by a source
host. Besides, collisions might occur where two distinct IPv6
Destination Addresses are translated into the same IPv4 address,
such that Identification values that might have been generated to
be unique in the context of IPv6 end up colliding when used in
the context of translated IPv4.
5. [RFC2460]は、フラグメント化されたパケットのIPv6フラグメントヘッダー識別フィールドが、同じ送信元アドレスと宛先アドレスで最近送信された他のフラグメント化されたパケットのそれとは異なることを要求しますが、下位16ビットの要件はありません。 そのような値。 したがって、送信元ホストによって送信されたパケットのIPv6フラグメントヘッダー識別フィールドの下位16ビットを使用することによって、IPv4フラグメント識別の衝突が回避または削減される保証はありません。 さらに、2つの異なるIPv6宛先アドレスが同じIPv4アドレスに変換されると、衝突が発生する可能性があります。これにより、IPv6のコンテキストで一意になるように生成された識別値が、変換されたIPv4のコンテキストで使用されると、最終的に衝突します。
We note that SIIT essentially employs the Fragment Header of IPv6 atomic fragments to signal the translator how to set the Don't Fragment (DF) bit of IPv4 datagrams (the DF bit is cleared when the IPv6 packet contains a Fragment Header and is otherwise set to 1 when the IPv6 packet does not contain a Fragment Header). Additionally, the translator will employ the low-order 16 bits of the IPv6 fragment header Identification field for setting the IPv4 Identification. At least in theory, this is expected to reduce the IPv4 Identification collision rate in the following specific scenario:
SIITは基本的にIPv6アトミックフラグメントのフラグメントヘッダーを使用して、IPv4データグラムのフラグメントしない(DF)ビットを設定する方法をトランスレーターに通知することに注意してください(IPv6パケットにフラグメントヘッダーが含まれ、それ以外の場合は、DFビットがクリアされます IPv6パケットにフラグメントヘッダーが含まれていない場合は1になります)。 さらに、トランスレーターは、IPv4識別を設定するためにIPv6フラグメントヘッダー識別フィールドの下位16ビットを使用します。 少なくとも理論的には、次の特定のシナリオでIPv4識別の衝突率が低下すると予想されます。
1. An IPv6 node communicates with an IPv4 node (through SIIT).
1. IPv6ノードは(SIITを介して)IPv4ノードと通信します。
2. The IPv4 node is located behind an IPv4 link with an MTU smaller
than 1260 bytes. An IPv4 Path MTU of 1260 corresponds to an IPv6
Path MTU of 1280, due to an optionless IPv4 header being 20 bytes
shorter than the IPv6 header.
2. IPv4ノードは、MTUが1260バイトより小さいIPv4リンクの背後にあります。 1260のIPv4パスMTUは1280のIPv6パスMTUに対応します。これは、オプションのないIPv4ヘッダーがIPv6ヘッダーよりも20バイト短いためです。
Gont, et al. Informational [Page 6]
RFC 8021 IPv6 Atomic Fragments Considered Harmful January 2017
3. ECMP routing [RFC2992] with more than one translator is employed,
for example, for redundancy purposes.
3.ECMPルーティング[RFC2992]は、たとえば冗長性を目的として、複数のトランスレータを使用しています。
In such a scenario, if each translator were to select the IPv4 Identification on its own (rather than selecting the IPv4 Identification from the low-order 16 bits of the fragment Identification of IPv6 atomic fragments), this could possibly lead to IPv4 Identification collisions. However, as noted above, the value extracted from the low-order 16 bits of the IPv6 fragment header Identification field might not result in an appropriate IPv4 Identification: for example, a number of implementations set the IPv6 fragment header Identification field according to the output of a Pseudorandom Number Generator (PRNG) (see Appendix B of [RFC7739]); hence, if the translator only employs the low-order 16 bits of such a value, it is very unlikely that relying on the fragment Identification of the IPv6 atomic fragment will result in a reduced IPv4 Identification collision rate (when compared to the case where the translator selects each IPv4 Identification on its own). Besides, because of the limited size of the IPv4 Identification field, it is nevertheless virtually impossible to guarantee uniqueness of the IPv4 Identification values without artificially limiting the data rate of fragmented traffic [RFC6864] [RFC4963].
このようなシナリオで、各トランスレーターがIPv4識別を独自に選択する場合(IPv6アトミックフラグメントのフラグメント識別の下位16ビットからIPv4識別を選択するのではなく)、これはおそらくIPv4識別の衝突につながる可能性があります。 ただし、上記のように、IPv6フラグメントヘッダー識別フィールドの下位16ビットから抽出された値は、適切なIPv4識別にならない場合があります。たとえば、多くの実装では、出力に従ってIPv6フラグメントヘッダー識別フィールドを設定します。疑似乱数ジェネレーター(PRNG)の([RFC7739]の付録Bを参照)。したがって、トランスレータがそのような値の下位16ビットのみを使用する場合、IPv6アトミックフラグメントのフラグメント識別に依存すると、IPv4識別の衝突率が低下することはほとんどありません(トランスレータは各IPv4識別を独自に選択します)。 さらに、IPv4識別フィールドのサイズには制限があるため、断片化されたトラフィックのデータレートを人為的に制限することなくIPv4識別値の一意性を保証することは事実上不可能です[RFC6864] [RFC4963]。
[RFC6145] was the only "consumer" of IPv6 atomic fragments, and it correctly and diligently noted (in its Section 6) the possible interoperability problems of relying on IPv6 atomic fragments, proposing a workaround that led to more robust behavior and simplified code. [RFC6145] has been obsoleted by [RFC7915], such that SIIT does not rely on IPv6 atomic fragments.
[RFC6145]はIPv6アトミックフラグメントの唯一の「コンシューマー」であり、IPv6アトミックフラグメントに依存する可能性のある相互運用性の問題を正確かつ注意深く(セクション6で)指摘し、より堅牢な動作と簡略化されたコードにつながる回避策を提案しました。 [RFC6145]は[RFC7915]によって廃止され、SIITはIPv6アトミックフラグメントに依存しません。
Gont, et al. Informational [Page 7] RFC 8021 IPv6 Atomic Fragments Considered Harmful January 2017 4. Conclusions
4.結論
Taking all of the above considerations into account, we recommend that IPv6 atomic fragments be deprecated.
上記のすべての考慮事項を考慮して、IPv6アトミックフラグメントを非推奨にすることをお勧めします。
In particular:
具体的には:
o IPv4/IPv6 translators should be updated to not generate ICMPv6 PTB
error messages containing an MTU value smaller than the minimum
IPv6 MTU of 1280 bytes. This will ensure that current IPv6 nodes
will never have a legitimate need to start generating IPv6 atomic
fragments.
IPv4 / IPv6トランスレーターは、最小IPv6 MTUの1280バイトより小さいMTU値を含むICMPv6 PTBエラーメッセージを生成しないように更新する必要があります。 これにより、現在のIPv6ノードがIPv6アトミックフラグメントの生成を開始する正当な必要性がなくなることが保証されます。
o The recommendation in the previous bullet ensures that there are
no longer any valid reasons for ICMPv6 PTB error messages
reporting an MTU value smaller than the minimum IPv6 MTU
(1280 bytes). IPv6 nodes should therefore be updated to ignore
ICMPv6 PTB error messages reporting an MTU smaller than 1280 bytes
as invalid.
前の箇条書きの推奨事項により、最小IPv6 MTU(1280バイト)より小さいMTU値を報告するICMPv6 PTBエラーメッセージの有効な理由がなくなります。 したがって、IPv6ノードを更新して、1280バイト未満のMTUを無効として報告するICMPv6 PTBエラーメッセージを無視する必要があります。
We note that these recommendations have been incorporated in [IPv6-PMTUD], [IPv6-Spec], and [RFC7915].
これらの推奨事項は、[IPv6-PMTUD]、[IPv6-Spec]、および[RFC7915]に組み込まれていることに注意してください。
5. Security Considerations
5.セキュリティに関する考慮事項
This document briefly discusses the security implications of the generation of IPv6 atomic fragments and describes one specific DoS attack vector that leverages the widespread dropping of IPv6 fragments in the public Internet. It concludes that the generation of IPv6 atomic fragments is an undesirable feature and documents the motivation for removing this functionality from [IPv6-Spec].
このドキュメントでは、IPv6アトミックフラグメントの生成によるセキュリティへの影響について簡単に説明し、パブリックインターネットで広く普及しているIPv6フラグメントのドロップを利用する特定のDoS攻撃ベクトルについて説明します。 IPv6アトミックフラグメントの生成は望ましくない機能であり、[IPv6-Spec]からこの機能を削除する動機を文書化しています。
Gont, et al. Informational [Page 8] RFC 8021 IPv6 Atomic Fragments Considered Harmful January 2017 6. References
6.リファレンス
6.1. Normative References
6.1。 規範的な参考文献
[RFC2460] Deering, S. and R. Hinden, "Internet Protocol, Version 6
(IPv6) Specification", RFC 2460, DOI 10.17487/RFC2460,
December 1998, <http://www.rfc-editor.org/info/rfc2460>.
[BCP38] Ferguson, P. and D. Senie, "Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP Source
Address Spoofing", BCP 38, RFC 2827, May 2000,
<http://www.rfc-editor.org/info/rfc2827>.
[RFC4443] Conta, A., Deering, S., and M. Gupta, Ed., "Internet
Control Message Protocol (ICMPv6) for the Internet
Protocol Version 6 (IPv6) Specification", RFC 4443,
DOI 10.17487/RFC4443, March 2006,
<http://www.rfc-editor.org/info/rfc4443>.
[RFC4821] Mathis, M. and J. Heffner, "Packetization Layer Path MTU
Discovery", RFC 4821, DOI 10.17487/RFC4821, March 2007,
<http://www.rfc-editor.org/info/rfc4821>.
[RFC4861] Narten, T., Nordmark, E., Simpson, W., and H. Soliman,
"Neighbor Discovery for IP version 6 (IPv6)", RFC 4861,
DOI 10.17487/RFC4861, September 2007,
<http://www.rfc-editor.org/info/rfc4861>.
[RFC6145] Li, X., Bao, C., and F. Baker, "IP/ICMP Translation
Algorithm", RFC 6145, DOI 10.17487/RFC6145, April 2011,
<http://www.rfc-editor.org/info/rfc6145>.
[RFC7915] Bao, C., Li, X., Baker, F., Anderson, T., and F. Gont,
"IP/ICMP Translation Algorithm", RFC 7915,
DOI 10.17487/RFC7915, June 2016,
<http://www.rfc-editor.org/info/rfc7915>.
[RFC6864] Touch, J., "Updated Specification of the IPv4 ID Field",
RFC 6864, DOI 10.17487/RFC6864, February 2013,
<http://www.rfc-editor.org/info/rfc6864>.
Gont, et al. Informational [Page 9]
RFC 8021 IPv6 Atomic Fragments Considered Harmful January 2017
6.2. Informative References
6.2。 参考情報
[RFC2992] Hopps, C., "Analysis of an Equal-Cost Multi-Path
Algorithm", RFC 2992, DOI 10.17487/RFC2992, November 2000,
<http://www.rfc-editor.org/info/rfc2992>.
[RFC5927] Gont, F., "ICMP Attacks against TCP", RFC 5927,
DOI 10.17487/RFC5927, July 2010,
<http://www.rfc-editor.org/info/rfc5927>.
[RFC4963] Heffner, J., Mathis, M., and B. Chandler, "IPv4 Reassembly
Errors at High Data Rates", RFC 4963,
DOI 10.17487/RFC4963, July 2007,
<http://www.rfc-editor.org/info/rfc4963>.
[RFC6052] Bao, C., Huitema, C., Bagnulo, M., Boucadair, M., and X.
Li, "IPv6 Addressing of IPv4/IPv6 Translators", RFC 6052,
DOI 10.17487/RFC6052, October 2010,
<http://www.rfc-editor.org/info/rfc6052>.
[RFC6146] Bagnulo, M., Matthews, P., and I. van Beijnum, "Stateful
NAT64: Network Address and Protocol Translation from IPv6
Clients to IPv4 Servers", RFC 6146, DOI 10.17487/RFC6146,
April 2011, <http://www.rfc-editor.org/info/rfc6146>.
[RFC6274] Gont, F., "Security Assessment of the Internet Protocol
Version 4", RFC 6274, DOI 10.17487/RFC6274, July 2011,
<http://www.rfc-editor.org/info/rfc6274>.
[RFC6946] Gont, F., "Processing of IPv6 "Atomic" Fragments",
RFC 6946, DOI 10.17487/RFC6946, May 2013,
<http://www.rfc-editor.org/info/rfc6946>.
[RFC7739] Gont, F., "Security Implications of Predictable Fragment
Identification Values", RFC 7739, DOI 10.17487/RFC7739,
February 2016, <http://www.rfc-editor.org/info/rfc7739>.
[RFC7872] Gont, F., Linkova, J., Chown, T., and W. Liu,
"Observations on the Dropping of Packets with IPv6
Extension Headers in the Real World", RFC 7872,
DOI 10.17487/RFC7872, June 2016,
<http://www.rfc-editor.org/info/rfc7872>.
Gont, et al. Informational [Page 10]
RFC 8021 IPv6 Atomic Fragments Considered Harmful January 2017
[IPv6-Spec]
Deering, S. and R. Hinden, "Internet Protocol, Version 6
(IPv6) Specification", Work in Progress,
draft-ietf-6man-rfc2460bis-08, November 2016.
[IPv6-PMTUD]
McCann, J., Deering, S., Mogul, J., and R. Hinden, Ed.,
"Path MTU Discovery for IP version 6", Work in Progress,
draft-ietf-6man-rfc1981bis-03, October 2016.
[JOOL] Leiva Popper, A., "nf_defrag_ipv4 and nf_defrag_ipv6",
April 2015, <https://github.com/NICMx/Jool/wiki/
nf_defrag_ipv4-and-nf_defrag_ipv6#implementation-gotchas>.
Gont, et al. Informational [Page 11]
RFC 8021 IPv6 Atomic Fragments Considered Harmful January 2017
Acknowledgements
The authors would like to thank (in alphabetical order) Congxiao Bao,
Bob Briscoe, Carlos Jesus Bernardos Cano, Brian Carpenter, Bob
Hinden, Tatuya Jinmei, Alberto Leiva Popper, Ted Lemon, Xing Li,
Jeroen Massar, Erik Nordmark, Qiong Sun, Joe Touch, Ole Troan, Tina
Tsou, and Bernie Volz for providing valuable comments on earlier
versions of this document.
Fernando Gont would like to thank Jan Zorz / Go6 Lab
<http://go6lab.si/>, and Jared Mauch / NTT America, for providing
access to systems and networks that were employed to produce some of
the tests that resulted in the publication of this document.
Additionally, he would like to thank Ivan Arce, Guillermo Gont, and
Diego Armando Maradona for their inspiration.
Authors' Addresses
Fernando Gont
SI6 Networks / UTN-FRH
Evaristo Carriego 2644
Haedo, Provincia de Buenos Aires 1706
Argentina
Phone: +54 11 4650 8472
Email: fgont@si6networks.com
URI: http://www.si6networks.com
Will (Shucheng) Liu
Huawei Technologies
Bantian, Longgang District
Shenzhen 518129
China
Email: liushucheng@huawei.com
Tore Anderson
Redpill Linpro
Vitaminveien 1A
Oslo 0485
Norway
Phone: +47 959 31 212
Email: tore@redpill-linpro.com
URI: http://www.redpill-linpro.com
Gont, et al. Informational [Page 12]