ATAQUESAIPv6:THCIPv6

1.Introduccin
EnlaactualidadexistenpocasherramientaspararealizarataquesespecficosalprotocoloIPv6.
THC(acrnimode 'TheHacker'sChoice) esungrupodeexpertosinternacionalesenseguridadde
redes y sistemas que destaca dentro de este campo al crear el primer paquete de herramientas
especficamentediseadasparaataquesaesteprotocolo:ThcIPv6.
Dentrodeestepaquete,ademsdeunalibrera(enC)paralacreacindepaquetesquepermite
programar fcilmente nuestros propios exploits en apenas 510 lneas, se incluye un conjunto de
potentesexploitsparasistemasLinuxpensadosparaatacarlasdebilidadesinherentesaIPv6eICMP6.
En las siguienteslneas seanalizarunapequeaseleccindeestas herramientas,exponiendo sus
caractersticasymostrandoademsalgunosdelosataquesbsicosquesepodranrealizarconellas.
Comenzaremos con una breve introduccin a IPv6, mostrando las principales
semejanzas/diferencias conel(porel momento)mayoritariamenteextendidoIPv4.Deesta manera
podremoscomprendermejorquenosaportaThcIPv6yquenovedadesdebemostenerencuentapara
suutilizacinefectivayassabercmoatacar(ydefendernos)mejor.

2.ResumendeIPv6
ElprotocoloIPv6esunanuevaversindeIP(InternetProtocol)diseadaparareemplazara
IPv4.SeencuentradefinidaenelRFC2460.AcontinuacinseexponenlascaractersticasdeIPv6ms
interesantesyesencialesparalacomprensindelossiguientesapartados:

El primer datosalientable es que ipv6 permite un nmero de posibles direcciones IP muy

superioraIPv4(2128delprimerofrentea232delsegundo).LarestriccinqueIPv4imponesobre
elcrecimientodeinterneteslaprincipalraznqueIpv6estdestinadoasustituirlo.

El tamao de una subred en IPv6 es de 264 (mscara de subred de 64 bits). Aunque

probablementeelaprovechamientodelespaciodedireccionesdelasubredseamenorqueen
IPv4, el uso de direcciones ms largas permite una asignacin de las mismas de manera
jerrquicaysistemtica(mejorandoaslaadministracindelasredesdebidoalareduccinde
costesoperacionales),ademsdeunaagregacinderutasmseficiente.

Permite la autoconfiguracin de direcciones IP e interconexiones de equipos usando los

mensajes de descubrimiento de routers de ICMPv6. Tambin es posible utilizar DHCPv6
(DynamicHostConfigurationProtocol paraIPv6)oconfigurarlosnodosdeformaesttica.
ICMPv6 esunanuevaversindeICMP(InternetControlMessageProtocol)yesunaparte
importante de la arquitectura IPv6 que debe estar completamente soportada por todas las
implementaciones y nodos IPv6. ICMPv6 combina funciones que anteriormente realizaban
diferentes protocolos (ICMP, IGMP, ARP ...) y adems introduce algunas simplificaciones
eliminandotiposdemensajesobsoletosqueestabanendesusoactualmente.

IPv6noimplementabroadcast,aunquepuedenenviarsepaquetesaladireccindemulticasta
todoslosnodos(enlacelocal)conunefectoanlogo.

Se integranalgunascaractersticasdeseguridad,entrelasquedestacalaobligatoriedad del
soporteaIPSec(InternetProtocolSecurity),protocoloutilizadoparacifradoyautenticacinIP
(niveldered).

MIPv6(MovileIpv6),quepermiteaunnodomoversepordiferentessubredesmanteniendolas
conexionesdeformatransparente,estaneficientecomoelIPv6normal(adiferenciadeIpv4
mvil).

LasdireccionesIPv6tienen128bits delongitudyseescribencomoochogruposdecuatro
dgitoshexadecimales(porejemplo:3ffe:ffff:0:0:8:800:20c4:0).Cadagruposeseparapordospuntosy
si uno o ms grupos sonnulos (0000) sepueden comprimir (para el ejemplo anterior se tiene:
3ffe:ffff::8:800:20c4:0).Ladireccin::1esladeloopbackyelprefijoff00::seusaparalasdirecciones
multicast.
ElformatodelasdireccionesIPv6eselsiguiente:unacabeceraobligatoriade40Bytes,una
seriedecabecerasopcionalessituadasacontinuacindelaobligatoriaylosdatos(concabecerasde
protocolosdenivelsuperiorincluidas).ElnuevoformatodepaquetequeespecificaIPv6estdiseado
paraminimizarelprocesamientodelencabezadodepaquetes.Adems,loscambiosenlacodificacin
delasopcionesdelacabecerapermitenunamayorflexibilidadalahoradeintroducirnuevasopciones
ovariarsulongitud.Comoapunte,decirqueIPv6yanolimitalacargatildelospaquetesa64KB,
sinoquetienesoporteopcionaldehasta4GB(losllamadosjumbogramas).
Porltimo,cabemencionarelsistemaIPv66to4quepermiteenviarpaquetesIPv6sobreuna
infraestructuraIPv4sinnecesidaddeconfigurarmanualmentelostnelesqueencapsulanlospaquetes
IPv6enpaquetesIPv4.
3.Ejemplodeataque
UnavezconocidaslascaractersticasbsicasdeIpv6,veamoscomosacarlepartidoalusode
ThcIpv6.Comoejemplobsico,pensemosenunalumnoquedeseaaprenderelfuncionamientobsico
deIPv6realizandounataqueinofensivoaotroscompaerosqueseencuentradentrodesusubred.El
manejodeestasherramientasessencilloymuyintuitivo,aunqueladificultaddelataqueaumentarasi
el objetivo fuesen mquinas fuera de nuestro segmento de red, como se comentar en la seccin
siguiente.
1:Fijarobjetivo
Como suele pasar a la hora de pensar los ataques, lo primero es conocer cual es nuestro
objetivo. Para un ataque a una subred con Ipv4, una forma tpica de actuar sera utilizar una
herramientacomoNmapparabuscarlasdireccionesdelasmquinasenlasubredaatacar,escanearsus
puertos,buscarvulnerabilidadesenlospuertosabiertos...ConIpv6,lasecuenciadeaccionessera
similar,perodebidoalenormerangodedireccionesvlidasdentrodeunasubred(264 ),eltiempode

cmputonecesarioparaelescaneoinicialseraexcesivo.As,conIPv6,lasfuentesdeinformacin
principales(yportantounodelosobjetivosclave)sernlosservidoresDNS(DomainNameSystem).
EstosedebeaquelosservidorespblicosnecesitanestarenservidoresDNSparaquelosclientes
puedanresolversusdireccionesIPytodaslasmquinasnecesitanestarenservidoresDNSprivados
conlafinalidaddeseradministradas.
Enestatarea,nospuedeserdeutilidadunadelasherramientasincluidasenThcIPv6:alive6.
Siejecutamosenunterminal:
>./alive6interfaz
LarespuestaobtenidasernlasNdireccionesdelasinterfacesderedlocalescondirecciones
Ipv6,entrelasquepodremosseleccionaralgunasaatacar:
Alive:direccionIpv61
Alive:direccionIpv62
...
Alive:direccionIpv6N
FoundNsystemsalive
2:Buscarvulnerabilidades
Siquisiramosrealizarunataqueserio,unavezconocidonuestroobjetivodeberamosencontrar
susvulnerabilidades.Enelapartadosiguientesecomentanerroresdeseguridadtpicosquesepueden
encontrar (y aprovechar) para ataques a IPv6, en su mayora debidos a descuidos o malas
implementaciones. En todo caso, la bsqueda de vulnerabilidades se escapa al contenido de este
documento,yaquenoestaraligadadirectamenteconelusodelasherramientasproporcionadaspor
ThcIPv6.Portanto,seprocededirectamenteaexplicaralgunosejemplosdeataques.
3:Interceptaryfalsificarmensajes
Podemosempezarporinterceptar(ymodificar)mensajesenviadosentredosmquinasdela
subred,esdecir,realizarelclsicoMitM(ManintheMiddle).Larealizacindeestetipodeataqueen
IPv4sebasaenelfuncionamientodelaspeticionesdeARP(paraobtenerlaMACcorrespondientea
unadireccinIP)ymensajesDHCP(paraasignardireccionesIPdinmicamente),enviadosambosala
direccindebroadcastdelasubred.Portanto,cualquierapuederesponderaestosmensajes,falseando
aslainformacin.EnIPv6noseaadeunaseguridadespecialaloanterior,ladiferenciaradicaenque
seutilizaICMP6pararealizarestaspeticionesyseutilizandireccionesmulticast(puesenIPv6nohay
direccionesdebroadcast).
Un posible ataque MitM con IPv6 es el siguiente. Cuando un compaero1 vctima quiera
comunicarseconuncompaero2,enviarunapeticinICMP6(parasolicitarlaMACdecompaero2)
atodoslosnodosdelasubred(direccinmulticast).Elatacantepuedeutilizarlaherramientaparasite6
paraenviarunarespuestaafirmandoquelaMACsolicitadasecorrespondeconsudireccinIP.

Siejecutamosenunterminal:
>./parasite6interfaz
Remembertoenablerouting(ip_forwarding),youwilldenialserviceotherwise!
StartedICMP6NeighborSoliticationInterceptor(PressControlCtoend)...
Estaremos redirigiendo el trfico local a nuestro sistema. Como se indica al ejecutar el
comando, se debe habilitar el enrutamiento para redirigir los paquetes interceptados a su destino
correcto. De nohacerloas,realmenteestaramoshaciendounataqueDoS (DenialofService):el
receptorlegtimodelospaquetesnolosrecibir.
OtraposibilidadrelacionadaconlaasignacindeIP'sesutilizarelchequeoDAD(Duplicate
AddressDetection)necesariocuandosequiereasignarunaIPaunainterfazdered.Lamquinaque
deseautilizarunadireccinIPenvaunmensajeICMP6paracomprobarsiladireccinyaestsiendo
usada.Elatacantepuedeutilizarlaherramientadosnewip6paraimpedirqueseasignennuevasIP's
enlasubredafirmandoqueutilizatodaslasdirecciones.
Lasintaxisesanlogaaloscasosanteriores:
>./dosnewip6interfaz
StartedICMP6DADDenialofService(PressControlCtoend)...
Hayotrasposibilidadesrelacionadasconestosataques,comolaproporcionadaporelexploit
fake_router6quesepuedeutilizarparahacersepasarporrouterenlared(yasconseguir,porejemplo,
modificarlastablasdeenrutamientodelasvctimas).
4:Enviarmensajesmulticast
ConIPv4sepuedeutilizarelenvodepaquetesaladireccindebroadcastpararealizarun
ataquedeDoSaunamquina.Seutilizaladireccindelavctimacomoorigenytodaslasmquinasde
la red (que no tengan deshabilitada la opcin de respuesta a peticiones con destino broadcast)
respondenalavctima,amplificandosutrficoyprovocandolaDoS.EnIPv6,comosehacomentado
anteriormente,nohaydireccionesdebroadcast.Perosepuderealizarunataqueanlogoutilizandola
direccindemulticastdetodoslosnodoslocales.Paraellopodemosutilizarsmurf6.
Laherramientasmurf6seutilizaparaataqueslocalesindicandocomofuentedelospaquetes
ICMP6ladireccindelavctimaydestinoladireccindemulticastlocal.
Lasintaxiseslasiguiente:
>./smurf6interfazdireccionIPv6Vctima
Startingsmurf6attackagainstdireccionIPv6Vctima(PressControlCtoend)...

Estogeneraraunagrancantidaddetrficolocalqueseraenviadoalafuente.Debenotarseque
esteataqueslofuncionarsilasmquinaslocalestienenhabilitadalaopcinderespuestaapeticiones
condestinounadireccinmulticast.
OtraherramientaqueproveeThcIPv6esrsmurf6.Estaherramientaseutilizaraparaataques
DoScondestinounamquinaderemotayfuenteladireccindemulticastlocal(todoslosnodos).Para
queesteataquefuncioneesnecesariaunamalaimplementacin,yaqueeldestinonodeberaresponder
apeticionescuyoorigenesunadireccinmulticast.

4.Dificultadesenlosataques
Los ataques presentados en el apartado anterior estn simplificados. Para empezar, si las
mquinas vctima estuviesen fuera de nuestra subred, la dificultad aumentara debido a la alta
probabilidaddequeunfirewalltiraselapaqueteraenviadaodequelasaccionesilcitasfuesen
detectadas por un IDS (Intrusion Detection System). Adems, y como se ha comentado en varias
ocasiones, para que los ataque sean efectivos dependemos en muchas ocasiones de malas
implementacionesodedescuidosporpartedelosadministradoresdered.
Entre las caractersticas ms salientables de IPv6 desde el punto de vista de la seguridad
destacanelqueesmssencillorealizarfiltradodelasredes,laobligacindeposibilitarelempleode
IPSec(quefacilitaeltraceadodelosataquesydificultaelsniffingylosataquesMitM),etc.Anas,la
seguridadylosriesgosdeIPv6nodifierenexcesivamentedelosdeIPv4.
Porsuerte,muchosadministradoresdescuidanlaseguridadenloquerespectaaipv6debidoa
sumenoruso.Adems,atodoestosesumaquedebidodebidoasurelativamenterecienteaparicin,
hayunmenorchequeodeIPv6y,consecuentemente,unamayorprobabilidaddeencontrarposibles
erroresdeimplementacindelapilaipv6ydeaplicacionesquetenganhabilitadosuuso.
5.OtrasposibilidadesdeThcIPv6
Cabe destacar que las posibilidades de ThcIPv6 para ataques a IPv6 son muy amplias y
crecernconelmayorusodeesteprotocoloysegnseinvestiguensusvulnerabilidades.Algunasdelas
herramientasproporcionadasporThcIPv6nocomentadasconanterioridadson: redir6 (redirigeel
trficoalsistemadelatacanteenunaLAN),toobig(reduceelMTUdeldestino),fake_mipv6(encaso
deestarIPSecdeshabilitado,redirigeeltrficodeunnodoconIPmvilaldestinoelegido),etc.
OtraherramientamuycmodaincluidaenThcIPv6es detectnewip6,quesepuedeutilizar
paraautomatizartareas.SimplementedetectanuevossistemasconIPv6habilitadoenlaredlocalysise
lepasaunscriptcomoargumento,loejecutaconlasnuevasdireccionesdetectadas.
Lasintaxisescomosigue:
>./detectnewip6interfaz[script]

Adems, como se ha comentado, es posible aprovechar posibles descuidos debidos a la

convivenciadeprotocolos.MuchossistemasoperativoshabilitanIPv6pordefectoyalhaberdospilas
IP,esposiblequeporundespistedeladministradorsefiltreIpv4ynoIpv6.Siseconocenlosdos
routerstunelizadoresentneles6to4,esmuysencilloinyectartrficoyrealizarIPspoofing.
Porotraparte,latareadelosfirewallssehacemscomplicada:paraelcorrectofuncionamiento
deIpv6,sedebepermitirquepasenmuchosdelosmensajesICMP6;IPSecocultadatos(yportanto
protocolos) de las capas superiores; la gran cantidad de cabeceras opcionales puede provocar
confusiones(esdecir,sehacemsdifcildistinguirlapaqueteralegtimadelaquenoloes);etc.
Comoconclusin,decirque,comosehaidoviendoalolargodelpresentetexto,resultaun
tantosorprendenteelcomprobarqueIPv6(unprotocolodestinadoasustituiraIPv4)tieneunas
vulnerabilidades bastante similares a su (todava en uso) predecesor (obviando las diferencias
tcnicasydeformatosentreunoyotro).Comosepuedeobservar,lasherramientasprobadastienen
unasintaxismuyintuitiva,conloquesepuedeintentarexplotarestasvulnerabilidadesdemanera
sencilla.Ycomosecomentabaaliniciodeldocumento,tambinsepuedenescribirexploitspropiosen
unascuantaslneasutilizandolalibreraproporcionada.Portanto,animoallectordeestedocumentoa
realizar sus propias pruebas y a ampliar sus conocimientos sobre este tema. Adems, con toda
seguridadunbuenconocimientodelfuncionamientodeIPv6sertil(ynecesario)enlosprximos
aos.
Puedenresultardeinterslossiguientesenlaces:

ParadescargarelpaqueteThcIPv6yencontrarmsinformacinsobrelosexploits:
http://freeworld.thc.org/thcipv6/

Para obtener una informacin ampliada sobre IPv6 recomiendo la lectura del siguiente
documento:
http://www.cu.ipv6tf.org/pdf/Tutorial%20de%20IPV6.pdf