3

День ™ наконец наступил. Я избегал IPv6 до сих пор, но мое блаженное невежество должно прекратиться.

Мой провайдер уведомил меня, что устройство в моей сети выполнило поиск DNS для одного из серверов C & C, отключенных в ходе недавних действий правоохранительных органов против ботнета Avalanche. Мне нужно найти это устройство и разобраться с ним, поэтому я включил регистрацию на своем DNS-сервере. Наконец, через четыре дня был сделан соответствующий запрос поиска DNS, но, к моему ужасу, запрос пришел с адреса fe80::113d:d91e:e685:943b . Дерьмо. Я нуб, когда дело доходит до IPv6, и у меня есть компьютер в моей сети с более чем 60 узлами, который является частью бот-сети, извергающей вредоносное ПО.

Я запустил tracert и определил, что это по локальной ссылке и в данный момент онлайн:

Tracing route to fe80::113d:d91e:e685:943b over a maximum of 30 hops

  1     9 ms    <1 ms     1 ms  fe80::113d:d91e:e685:943b

С устройством IPv4 я могу посмотреть аренду DHCP, чтобы получить имя устройства. В противном случае я бы пинговал его, а затем запустил arp -a чтобы получить его MAC-адрес, который, по крайней мере, дает мне производителя. Но в этой сети нет DHCP-сервера IPv6, а arp, похоже, не говорит по IPv6.

Я попытался пройти ускоренный курс в IPv6 и узнал, что префикс fe80 означает, что адрес является локальным для канала, и я могу предположительно получить MAC-адрес из адреса. Я попробовал это и получил MAC 13:3d:d9:85:94:3b . Ни один из инструментов поиска OUI не распознает его, и он не отображается в моих IPv4 DHCP-аренды.

Как определить, какое устройство в моей сети имеет этот IPv6-адрес?

Мои серверы и машины, на которых я занимаюсь устранением неполадок, работают под управлением Windows.

1 ответ1

4

Благодаря этому комментарию к другому ответу суперпользователя я обнаружил команду:

netsh int ipv6 show neighbors

К моей огромной радости я обнаружил, что он сообщает мне MAC-адрес устройств в локальной ссылке, как это делает arp -a :

Interface 10: Local Area Connection

Internet Address                              Physical Address   Type
--------------------------------------------  -----------------  -----------
<redacted>
fe80::113d:d91e:e685:943b                     4c-72-b9-d2-b5-5d  Reachable
<redacted>

Затем я смог сравнить физический адрес с арендой IPv4 на моем DHCP-сервере и получить NetBIOS-имя устройства-нарушителя. Очень просто.


Я до сих пор не понимаю, почему этот MAC-адрес приводит к этому конкретному IPv6-адресу. Согласно этому онлайн-конвертеру, его локальный IPv6-адрес должен быть fe80::4e72:b9ff:fed2:b55d . Но это другой вопрос ...

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .