[atnog] Neighbor Discovery Timings

Florian Holzbauer fholzbauer at sba-research.org
Mon Apr 29 19:49:11 CEST 2024 

Hallo AT:NOG,

suche Leute die IPv6 und Juniper/Cisco IOS XR Router in ihrem Netzwerk 
laufen haben.

Wenn das zutrifft, wäre mir mit einem Tcpdump/Wireshark Dump von einem 
Neighbor Discovery Request/Neighbor Solicitation, durch z.B. ping 
<unassigned IPv6> im Netzwerk des Routers, sehr geholfen. (Es müssen 
hier auch nicht die einzelnen Solicitations des Routers ersichtlich 
sein, sondern es reicht der Echo Request und die Antwort vom Router + 
deren Timings)

Tests anderer Hersteller würden nur helfen, wenn die Antwortzeit des 
Routers auch von den standardmäßigen 3 Sekunden abweichen.

Ergebnisse bitte per Email an: fholzbauer at sba-research.org mit Router 
Typ und OS Version.

Hintergrund: Beim Vergleich von ICMPv6 Implementierungen mehrerer 
Routerhersteller im virtuellen Testsetup  ist aufgefallen, dass 
Junos/Cisco IOS XR herausstechen. Der Neighbor Discovery Prozess dieser 
Hersteller führt zu einem Address Unreachable nach 2 Sekunden bzw. 18 
Sekunden, statt den üblichen 3 Sekunden. Dies sollte dann auch im 
Tcpdump/Wireshark Dump ersichtlich sein. Nachdem der Test nur im 
virtuellen Setup durchgeführt wurde (+ Router im IPv6 Internet zeigen 
ähnliches Verhalten), wäre mir mit zusätzlicher Ground-Truth sehr geholfen.

Was bedeutet es, wenn die Implementierung dieser Router abweicht? Es 
geht um die Identifizierung der Routerhersteller bzw. OS Versionen und 
nicht um eine Sicherheitsschwachstelle. Obwohl einige Netzwerke im IPv6 
Internet ihre Neighbor Discovery Queues und Caches zur Schau stellen, 
sind diese meist Memory-limitiert und pro Interface sodass unzählige 
externe Anfragen an unassigned IPs nicht das interne Netzwerk 
beeinflussen. Wobei unsere Tests nicht consumer-grade und CPE Router 
umfassen und es hier anders aussehen könnte. Mikrotik Routerboards mit 
RouterOS < 7 lassen sich z.B. durch oben genanntes Szenario neustarten. 
Falls jemand seinen Heimrouter testen möchte, empfiehlt sich ndpexhaust26.

mit freundliche Grüßen,

Florian Holzbauer

PhD Student @ Security und Privacy Group Uni Wien

Researcher @ ERIS Networks & Critical Infrastructure Group SBA-Research

-- 
Dipl.-Ing. Florian Holzbauer
Researcher
E: fholzbauer at sba-research.org
https://www.sba-research.org
Floragasse 7, 5. Stock / 1040 Wien / Bezirksgericht Innere Stadt Wien

-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_0x50F6E5075125B11C.asc
Type: application/pgp-keys
Size: 669 bytes
Desc: OpenPGP public key
URL: <http://atnog.at/pipermail/atnog/attachments/20240429/3b776f66/attachment.bin>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 236 bytes
Desc: OpenPGP digital signature
URL: <http://atnog.at/pipermail/atnog/attachments/20240429/3b776f66/attachment.sig>

More information about the atnog mailing list