День ™ наконец наступил. Я избегал IPv6 до сих пор, но мое блаженное невежество должно прекратиться.
Мой провайдер уведомил меня, что устройство в моей сети выполнило поиск DNS для одного из серверов C & C, отключенных в ходе недавних действий правоохранительных органов против ботнета Avalanche. Мне нужно найти это устройство и разобраться с ним, поэтому я включил регистрацию на своем DNS-сервере. Наконец, через четыре дня был сделан соответствующий запрос поиска DNS, но, к моему ужасу, запрос пришел с адреса fe80::113d:d91e:e685:943b
. Дерьмо. Я нуб, когда дело доходит до IPv6, и у меня есть компьютер в моей сети с более чем 60 узлами, который является частью бот-сети, извергающей вредоносное ПО.
Я запустил tracert
и определил, что это по локальной ссылке и в данный момент онлайн:
Tracing route to fe80::113d:d91e:e685:943b over a maximum of 30 hops
1 9 ms <1 ms 1 ms fe80::113d:d91e:e685:943b
С устройством IPv4 я могу посмотреть аренду DHCP, чтобы получить имя устройства. В противном случае я бы пинговал его, а затем запустил arp -a
чтобы получить его MAC-адрес, который, по крайней мере, дает мне производителя. Но в этой сети нет DHCP-сервера IPv6, а arp, похоже, не говорит по IPv6.
Я попытался пройти ускоренный курс в IPv6 и узнал, что префикс fe80
означает, что адрес является локальным для канала, и я могу предположительно получить MAC-адрес из адреса. Я попробовал это и получил MAC 13:3d:d9:85:94:3b
. Ни один из инструментов поиска OUI не распознает его, и он не отображается в моих IPv4 DHCP-аренды.
Как определить, какое устройство в моей сети имеет этот IPv6-адрес?
Мои серверы и машины, на которых я занимаюсь устранением неполадок, работают под управлением Windows.