DNS: Bloquear o no bloquear las direcciones IPv6 6to4

Introducción

  El servicio de DNS es sin duda alguna uno de los pilares de Internet, sin DNS el Internet no sería ni remotamente como lo conocemos hoy en día.

  DNS es el servicio que permite -entre otras funciones- convertir nombres de dominios a direcciones IP y viceversa.

Sobre el proyecto IPv6 Open Resolvers:

  Dentro de Lacnic, desde comienzos del año 2018 [1] estamos en la búsqueda de servidores DNS sobre IPv6 que son consideraciones “Open Resolvers” [2]

¿Que tiene que ver 6to4 con Open Resolvers y seguridad?

  Durante el tiempo que tiene este proyecto en funcionamiento hemos tenido la oportunidad de exponer el estudio y sus resultados [3] en sitios como DNS-OARC 28 , LACNIC 29 y NANOG 74. En esta última, recibimos muy buenos comentarios y quizás el más significativo fue el de George Wes donde él indicaba la existencia de muchos servidores DNS con direcciones IP 6to4 [4] las cuales utilizan direcciones IP de túneles automáticos dentro del prefijo 2002::/16.

  En base a lo anterior, decidimos profundizar en este concepto y estudiar con más detalle los resolvers con direcciones IPv6 6to4 y obtuvimos información muy interesante.

  Por ejemplo, el día 2 de Diciembre del 2018 estudiamos: 6248 servidores, de los cuales 61 estaban contenidos en el prefijo 2002::/16, y de aquí tuvimos 20 servidores abiertos, es decir, casi un 33%. Todos ellos potenciales para realizar diferentes ataques de DNS como de amplificación, cache poisoning, DDoS, DNS hijacking, entre otros.

  Aquí tenemos dos gráficos de lo arriba expuesto:

   Conclusión

   Primero, el problema per sé no es el 6to4, son los Open Resolvers. Segundo, como administrador de servidores DNS ustedes deben querer responder a la mayor cantidad de queries posibles de clientes válidos, nuestra recomendación no se ajusta solo a redes 6to4, sino básicamente la implementación de RLL (Response Rate Limit) a los queries según el origen, claro prestarle mayor atención a las provenientes del prefijo 2002::/16 no es mala idea.

Referencias

[1]https://labs.lacnic.net/aportando_un_grano_de_arena_en_la_seguridad_de_la_red/

[2] https://www.bsi.bund.de/EN/Topics/IT-Crisis-Management/CERT-Bund/CERT-Reports/HOWTOs/DNS-Open-Resolver/DNS-Open-Resolver_node.html

[3] https://stats.labs.lacnic.net/IPv6/DNSOpenResolver/

[4] https://en.wikipedia.org/wiki/6to4

vivo v15 pro
beautiful Rohini escorts for you

Identificando servidores DNS IPv6 Open Resolvers

Introducción

Como muchos de ustedes saben, tener servidores DNS Open Resolvers es muy negativo, tanto para el que deja el servicio abierto como para la seguridad en Internet en general.
Este tipo de servidores se utilizan como vector de ataques de DDoS por amplificación ya que a partir de un mensaje de consulta de pequeño tamaño, se puede obtener una respuesta mucho mayor. De esta manera, ese servidor DNS se convierte en un amplificador de tráfico muy potente ya que sus consultas amplificadas pueden dirigirse a una IP específica, la cual recibiría todo ese volumen de tráfico, ocasionándole indisponibilidad de sus servicios. Para este ataque ni siquiera es necesario que el hardware esté controlado por el atacante.

Este es un problema que en WARP nos preocupa porque hemos recibido mucho reportes de incidentes relacionados a esta vulnerabilidad. Por esta razón en conjunto con el área de I+D estamos llevando a cabo un proyecto con el objetivo de conocer el estado actual de la región, identificar los open resolvers y de forma proactiva alertar y recomendar una posible corrección de la configuración de este servicio.

Identificando un DNS Open Resolvers en IPv6 (DNS abiertos)

Identificar servidores Open Resolvers o servidores DNS abiertos en el mundo de IPv4 es muy sencillo, debido a la poca longitud del espacio de IPv4 (2**32).
En el mundo de IPv6 es imposible poder verificar cada una de las direcciones IP y ejecutar una prueba de Open Resolver. Dicha prueba puede durar miles de años.

¿Cómo se identifica un DNS Open Resolver?

Un servidor DNS recursivo solo debería responder consultas (queries) a todos los clientes que se encuentren dentro de su misma red y debería rechazar cualquier otra que provenga de fuera. Por ejemplo, los servidores DNS del ISP ACME solo deberían responder a consultas de sus propios clientes, a más nadie.
La identificación se hace realizando una consulta de un nombre de dominio a los servidores DNS. En caso que el servidor DNS responde con una respuesta válida, entonces es considerado Open Resolver. Si por el contrario, devuelve un rechazo (Query refused) o sencillamente hace timed out se encuentra bien configurado, por lo que no es un Open Resolver.

¿Cómo se consiguen los resolvers de IPv6?

LACNIC administra un servidor que puede ser llamado: Root Server Reverso, específicamente la letra “D”, es decir, d.ip6-servers.arpa. Gran cantidad de consultas a direcciones IP reversas de la región de LACNIC pasan a través de este servidor, en líneas generales este servidor SOLO recibe consultas de servidores DNS. Aquí es donde obtienen las direcciones IPv6 de los DNS que realizan consultas.

Procedimiento & Algoritmo

1. 1. En el servidor actualmente se realiza una captura de 2.5 millones de paquetes con el filtro del puerto 53 y destinados únicamente a la dirección IP de dicho equipo.
   2. De la captura anterior se ubican solo direcciones IPv6 origen (se eliminan paquetes mal formados, errores, etc). Se desprecia menos de 1% de los paquetes
   3. De las direcciones IPv6 obtenidas en el paso 2 se crea una lista de direcciones IPs unicast (es decir, se eliminan duplicados)
   4. Un script toma cada dirección IPv6 del listado del punto 3, y realiza una consulta a la dirección www.lacnic.net hacia esa dirección, verifica recursividad y el estado de la respuesta.
   5. En caso de ser un Open Resolver dicha dirección IP quedará registrada para su posterior análisis y notificación a la organización responsable de ese recurso.

Diagrama de bloques

Vista de los Resultados

Conclusiones Primarias

Para esta primera instancia, observamos aproximadamente unos 33,514 registros de consultas realizadas al Root Server Reverso “D” administrado por LACNIC.

Luego de analizar estos primeros datos obtenidos, observamos que la región más afectada por servidores open resolver sería la de APNIC con el 19.23% de los datos obtenidos para esa zona. Para la región de Ripe obtuvimos la mayor cantidad de información, curiosamente el porcentaje de servidores mal configurados es casi insignificante (0.93%).
En lo que respecta a nuestra región detectamos 39 open resolvers (4.56%) de los 817 registros recolectados, donde existen solo 3 casos que la dirección IP se repite más de una vez.

Estudios similares

https://labs.ripe.net/Members/luuk_hendriks/finding-open-dns-resolvers-on-ipv6

Referencias

Para leer sobre Open Resolvers se recomienda este link: https://www.certsi.es/blog/dns

Realizado por:

Dario Gomez & Alejandro Acosta

Retrospectiva de crecimiento IPv6 durante el 2017 en LAC

Hola de nuevo,

Este es un post que ya se ha venido convirtiendo en tradición en los últimos años. Básicamente lo que busco es realizar un resumen de cambios relevantes de IPv6 para algunos países de la región. Les prometo me gustaría mencionarlos a todos pero es imposible !

En esta oportunidad voy a comenzar recordando el concepto de Retrospectiva [1]:

“Retrospectiva (del latín: retrospectare) es una enumeración y celebración de eventos ya ocurridos, y normalmente organizada y presentada al final del año, en algún medio de difusión (generalmente televisión o radio), aunque también puede abarcar un período mayor del anual.”

Adicionalmente deseo dar continuidad a una frase que utilicé el año pasado para este mismo artículo el cual se lee:

“Volviendo a la retrospectiva, creo que 2016 marcó un hito importante en cuanto al crecimiento del protocolo. Quiero decir, ya no hay vuelta atrás. Si algunos aún pensaban que IPv6 era bueno, era malo, le faltaba seguridad, robustez, todas las anteriores.., pueden tener razón :-) pero aún así su despliegue lo considero imparable.“

Debo decir con toda seriedad que mantengo esas mismas palabras. En el 2017 vimos un crecimiento en Latam bastante alto impulsado por diferentes países y por muchos proveedores. Algo diferente a lo apreciado en años anteriores

¿Que ha pasado con los países de LAC durante el 2017? [2]

Uruguay

Comienzo con este país porque lo realizado en el 2017 no tiene comparación. Siendo un país de 3.5 mm de habitantes y de 176.000 km2 su grado de penetración de IPv6 en este momento es de 30% (comenzó el año en 0%). Si revisamos el ranking mundial de penetración de IPv6, UY está de 5ta posición, y lo mejor aún, con un franco crecimiento que no parece cambiar en el corto plazo. ¡ Vamos arriba UY !.

Argentina

Seguimos en el sur. Los indicadores de Argentina tuvieron sus primeros movimientos a mediados del 2016, sin embargo hay que notar que este año duplicaron su grado de penetración de IPv6 en el usuario final, comenzaron el año con menos de 2% y finalizan con más de 6%. ¡ Felicitaciones!

Perú

Hubo una época que hablar de IPv6 en Latam era casi hablar de Perú, por varios años este país fue un icono en la región. Estuvo quieto por un tiempo y a mediados de este año se les vió otro repunte.., al menos dos operadores adicionales están trabajando con v6 lo que hizo aumentar la penetración de v6 en el usuario final de 15 % a 20%. ¡Que alegría Perú!

Brasil

No podemos terminar este artículo sin mencionar al gigante de la región, un país de más de 8.000.000 km2 y de > de 200.000.000 de habitantes. Lo interesante de IPv6 y BR es la gran cantidad de distintos actores que están moviendo la aguja. Comenzaron el año con aproximadamente 11% de IPv6 en el usuario final y están terminando con más de 22%. Un gran salto para un gran país. ¡Moito bem feito!

¿Y el promedio para todo LATAM?

El 1 de Enero de 2017 el promedio de acceso IPv6 en LATAM fue de 2.26 %, hoy en día está sobre 4.27%. Esto representa un crecimiento de 94%..., 24 puntos por arriba de lo que fue en el 2016. Cuando veo estos números siempre pienso que las personas que tengan servicios hacia al cliente en Internet tienen que considerar la gran cantidad de potenciales visitantes/usuarios en v6.

¿Y sobre el mundo de contenido/servidores?

El 2017 fue un año muy bueno en este sentido, sobre todo en el segundo semestre escuchamos de varios operadores que desplegaron IPv6 en sus Data Centers, proveedores de hosting colocaron registros AAAA en los DNS apuntando a servidores Web. Varios miles de dominios en nuestra región fueron habilitados con IPv6 en el año 2017. Creo que no podemos pedir más, solo fueron buenas noticias.

¿Qué esperar para el 2018?

No soy pitoniso pero no creo que sea muy difícil pronosticar el 2018, creo que veremos gran cantidad de operadores desplegando IPv6, veremos más IPv6 en el usuario final. Las estadísticas de acceso seguirán con un crecimiento constante y estable. Creo que tendremos un repunte también en la parte de contenido IPv6 en nuestra región, confiamos que muchos proveedores y Data Centers habilitarán IPv6 en el corto/mediano plazo.

Reciban un fuerte abrazo,

@ITandNetworking @LACNICLabs

#Referencias

1. https://es.wikipedia.org/wiki/Retrospectiva
2. http://stats.labs.lacnic.net/IPv6/graph-access.html

Prueba de ping MUY sencilla con IPv6. Comparativa IPv4 - IPv6 haciendo ping a la loopback

Hola,
  Recientemente estuve haciendo unas pruebas de ping a las direcciones de loopback de Windows, Linux y MAC.
  Si haces ping6 a tu loopback (digamos 1000 paquetes) con Windows o Linux, IPv6 es más rápido.
  Ahora intenta lo mismo en MAC (El Capitan).., IPv6 es 20-25% más lento.
  Hice lo mismo en varios dispositivos y le pedí a varios amigos que hicieran la misma prueba. Todos obtuvieron el mismo resultado


MAC:
--- 127.0.0.1 ping statistics ---
100 packets transmitted, 100 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.037/0.098/1.062/0.112 ms
--- ::1 ping6 statistics ---
100 packets transmitted, 100 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.058/0.120/0.194/0.027 ms



Linux:
--- 127.0.0.1 ping statistics ---
100 packets transmitted, 100 received, 0% packet loss, time 98999ms
rtt min/avg/max/mdev = 0.015/0.021/0.049/0.007 ms

--- ::1 ping statistics ---
100 packets transmitted, 100 received, 0% packet loss, time 99013ms
rtt min/avg/max/mdev = 0.019/0.031/0.040/0.004 ms


Windows 10:

Ping statistics for ::1:
    Packets: Sent = 100, Received = 100, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms


Ping statistics for 127.0.0.1:
    Packets: Sent = 100, Received = 100, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 4ms, Average = 0ms


Esto es todo,

Retrospectiva: Acceso IPv6 en la region Latinoamerica y Caribe - Año 2015

Estimados amigos(as), un gusto saludarles,

  Primero, un pequeño comentario, el año pasado hice un Post con un título muy similar [1], este vendría a ser la versión 2015 :-)

  Segundo, este año para mí fue muy especial, entre otros a) dentro de Lacnic logramos obtener más estadísticas y set de datos relativos a IPv6 (abajo más información), b) 2015 marcó mi último año como moderador del foro de IPv6, c) por otro lado, hicimos dos "estrenos" de material para apoyar la difusión de v6 (canción [5] e historia animada [6]) el cual aparentemente a tenido muy buena acogida. 

   Vamos entonces a hacer un repaso del 2015, tener una pregunta siempre ayuda como kick-off. ¿Qué ha pasado este año con IPv6 en nuestra región?. Obtenemos los siguientes protagonistas:

Perú

  Capital gastronómica de Latinoamérica, un país con cerca de 1.3 mm de KM2 y una población de 31 mm de habitantes. Para la mayoría de nosotros no es un secreto saber que este país lidera para LAC el tráfico IPv6 en el usuario final. Perú tiene un tráfico superior a 15%, tanto así que se encuentra en el TOP 10 de los países con IPv6 en el mundo. Aún se mantiene como el único país con doble dígito en nuestra región. Tener hoy 15% representa un salto de 50% con la misma medición a finales del 2014. Mis felicitaciones!!

Ecuador

  Ecuador es famoso por sus tejidos de llama y alpaca, y ahora con IPv6 no nos deja de sorprender, este año comenzó con ~3.18% de penetración de IPv6 y hoy en día se encuentra sobre el 9%. Una característica muy interesante de Ecuador es la gran diversidad de ASs que están generando v6. Mantengan el ritmo!!

Bolivia

  Donde se encuentra el santuario de mariposas mas grande el mundo repite este año como protagonista. De hecho hace 12 meses estaba comenzando un despliegue que ya proyectaba que venía con cosas buenas. Al momento de este escrito el país tiene 3.14% de penetración de IPv6 en el usuario final. Un número que es 50% mayor que en Julio de 2015 y cerca del 1000% mayor que comenzando el año. Desde nuestro observatorio de IPv6 ha sido el país con mayor crecimiento en IPv6. Un fuerte aplauso!

Brasil

  Uhhh, las playas, los carnavales, el fútbol, muchas más cosas. Este país desde mi óptica es el gran ganador este año. Es un país que comenzó el 2015 con ~0.17% de penetración de IPv6 en el usuario final, hoy en día tiene 6.42%. Es un caso muy interesante porque existen gran cantidad de ISPs realizando el despliegue de IPv6. Mover la aguja del medidor de tráfico v6 para un país del tamaño de Brasil no es sencillo. Grandes!! 

Trinidad y Tobago

  TT es otro país famoso por su Carnaval, algunos dicen que la música se puede escuchar en el extremo de Venezuela si el viento colabora. TT parece ser el quién quiere liderar v6 en el caribe, al menos así lo dicen las estadísticas. Trinidad y Tobago comenzó el año con 0.01% de tráfico v6 en el usuario final y al día de hoy tiene más de 0.31%. Muchos pensarán que es un número chico pero muchos países comenzaron así y hoy en tienen 5-10-15-30%. Por algún punto hay que comenzar :-) Muy bien TT!!

Paraguay

  No quise pasar la oportunidad de hablar del país del Tereré porque este año un ISP (Copaco) hizo un anuncio buscando Beta testers [8], ójala este llamado aumente el tráfico de IPv6 en dicho país. El 2016 promote para PY!!

¿El resto de los países?

  Para quien escribe estas líneas _no_ es cómodo “pasar” sin mencionar a muchos países, lógicamente quiero mencionar a todos. Existen muchos otros donde sabemos que hubo algo de IPv6, por ejemplo en Costa Rica, Panamá y Venezuela [7]. Es importante recordar que lógicamente uno no escucha ni se entera de todo, es decir, deben haber muchas otras implementaciones de las cuales no estamos al tanto.

¿Y el promedio de LAC?

  Este número también ha aumentado significativamente, tuvo un crecimiento mayor al 100% durante el 2015. El número se incrementó de 0.51% a comienzos de Enero a 1.15% en Diciembre de 2015. Un crecimiento que no es malo pero aún es chico para nuestra región; recordemos que el tráfico a nivel mundial de IPv6 está cerca del 10%. Desde nuestra perspectiva tenemos grandes esperanzas para el 2016, creemos que el tráfico va a aumentar significativamente. IPv6 es el futuro.

Reciban un fuerte abrazo.

Alejandro Acosta,

[1] http://portalipv6.lacnic.net/retrospectiva-acceso-ipv6-en-la-region-latinoamerica-y-caribe-lac/

[2] Histórico penetración de IPv6 (datos procesados de Google): 

http://stats.labs.lacnic.net/IPv6/graph-access.html

[3] Historio de websites de LAC con AAAA en el TOP 1 millon mundial: 

http://stats.labs.lacnic.net/IPv6/reports/current-websites-lac-with-aaaa.html

[4] Datos abiertos del [2]: http://stats.labs.lacnic.net/IPv6/opendata/ipv6-report-access.json

[5] Datos abiertos de [3]: 

http://stats.labs.lacnic.net/API/DOWNLOADS/IPv6CONTENTCURRENT/JSON

[6] La triste historia de un ISP sin IPv6: https://www.youtube.com/watch?v=3DOcc18Bj2U

[7] Canción: “v6 is the one for me”: https://www.youtube.com/watch?v=99Qw9cfpyEg

[8] Anuncio Copaco: http://ipv6.copaco.com.py/portal/?p=72

Contenido www y embriones sobre IPv6. Region Lacnic

Buenas tardes,
  En esta oportunidad les quiero compartir un pequeño análisis sobre estadísticas de penetración de IPv6 en el mundo de contenido. En otras oportunidades (*1) hemos conversado
sobre estadísticas de penetración de IPv6 desde la perspectiva del usuario final. En lo personal me alegra mucho contar con este tipo de mediciones porque es algo que nos faltaba.

¿Qué quiere decir estadísticas de penetración de IPv6 en el mundo de contenido?Básicamente es saber cuánto contenido/servidores existe sobre IPv6, NO cuántos usuarios NI cuánto tráfico sobre IPv6 está siendo cursado. 

ProblemasEl mayor problema que se encuentra es determinar con certeza cuál contenido se encuentra en un país. Recordemos que Internet es una red globalizada, saber que donde se encuentra el "host" de un dominio es algo muy complejo. Ciertamente existen muchas técnicas pero de igual manera no son 100% confiables. Ejemplo: indicar que el dominio www.example.com.ve está en Venezuela puede ser totalmente cierto, parcialmente cierto o totalmente negativo. Para poder llevar a cabo este estudio decidimos tomar únicamente dominios con ccTLD de nuestra región.

¿Cómo se realizó este estudio?Vamos a indicarlos por pasos para visualizarlo mejor:

1) Se toma un archivo con los TOP 1 millón de dominios del mundo (*2)
2) Se toma el ccTLD de los mismos (.ar, .uy, .br, .ve, etc)
3) Del punto 2 se averigua si tienen registros AAAA en su www
4) Del punto 2 se hace un estudio para averiguar si existen "embriones
IPv6", es decir, dominios que no tienen IPv6 en su www pero si tienen host con los nombres w6, www6, ipv6, v6 + dominio

Procesamiento:
- Del archivo Majestic Million con un millón de dominios, aproximadamente 8000 tienen ccTLD de la región de Latinoamérica y Caribe.
- Posteriormente se utiliza el dominio y se buscan registros AAAA para:
www + dominio
ipv6|v6|www.ipv6|www6|ip6|w6 + dominio

Resultados:De puede apreciar lo siguiente:

1.- Para Websites con IPv6 actuales:El top 5 de los países con Websites con AAAA tenemos:

Gráfico #1. Resumen países con sitios con registros AAAA

1.- Brasil cuenta con 180 sitios que representa el 57.3% del total

2.- Colombia con 47 sitios que representa el 15% del total

3.- México con 33 sitios que representa el 10.5% del total

4.- Argentina con 10 sitios que representa el 3.2% del total

5.- Chile con 7 sitios que representa el 2.2 del total

(estadísticas para el 22 de Julio, 7709 dominios estudiados y 314 Websites con AAAA)

Gráfico #2. Resumen sitios actuales con AAAA

2.- Para Websites embriones:El top 5 de los países con Websites embriones tenemos:

Gráfico #3. Resumen países con embriones IPv6

1.- Brasil 25 (con 45.5 %)
2.- Colombia 18 (32.7%)
3.- Mexico (9.1%)
4.- Perú 2 (3.6 %)
5.- Chile 2 (3.6 %)

(estadísticas para el 22 de Julio, 7709 dominios estudiados y 55 Websites embrios encontrados)

Gráfico #4. Resumen sitios embriones IPv6

Es muy interesante apreciar que Brasil, Colombia, México y Chile se encuentran en ambos cuadros mientras que Perú y Argentina se intercambian la 4ta posición.
Los resultados pueden ser obtenidos en el sitio: http://stats.labs.lacnic.net y buscando por “Websites actuales con IPv6” y “Embriones Websites (AAAA)” en la columna de la izquierda.

Conclusión:  Primero, que nada, es una alegría observar que existen más sitios con IPv6 que embriones por nacer ( claro, de alguna manera se entiende que lo anterior tiene sentido y en realidad no quise caer en comparaciones de otras índoles).
  Segundo, se entiende que puede existir un aspecto también de idiosincrasia donde algunos países y administradores sean más cuidadosos -o menos- y no usen un URL de embriones y coloquen su sitio en v6 directamente.
  Tercero, de alguna manera podemos esperar que en un futuro consigamos que los sitios embrionarios se conviertan en sitios formales (www) con IPv6.

¿Posibles próximos pasos?- En el presente estudio se evaluó únicamente dominios listados en el TOP 1 millón de Majestic
filtrados por ccTLD de la nuestra región Latam y Caribe, se puede evaluar la manera de extender este estudio a otros listados
- Identificar si la dirección IPv6 que apunta el AAAA es de Lacnic
- Estudiar cuánto tiempo pasa un sitio embrión a un sitio formal con IPv6.

Margen de error:- Se entiende que puede existir un margen de error, un host embrión no significa que sea
necesariamente movido al www del dominio.

Tecnisismos:- Todos los scripts fueron realizados en python3 sobre Linux Ubuntu 13.04

Por:
Alejandro Acosta
Lacnic
@ITandNetworking

*1. Retrospectiva: Acceso IPv6 en la region Latinoamerica y Caribe (LAC) en: http://portalipv6.lacnic.net/retrospectiva-acceso-ipv6-en-la-region-latinoamerica-y-caribe-lac/
*2. https://majestic.com/reports/majestic-million