Я только что натолкнулся на это утверждение.

Сканирование сети IPv6, однако, предлагает большое количество хостов в подсети, если злоумышленник может скомпрометировать один хост в подсети; Злоумышленник может проверить локальный адрес многоадресной рассылки на всем узле.

Я понимаю, что IPv6 имеет большую подсеть с примерно 128 битами схем адресации, и именно поэтому сканирование сети становится утомительной работой с использованием традиционных методов сканирования. Но что именно означает all host link local multicast ?

1 ответ1

2

В IPv6 существуют разные виды адресов:

  • Адрес одноадресной рассылки - это уникальный адрес узла.

  • Anycast address: обычно префикс IP, который объявляется из нескольких мест. Он передает в сети решение о том, какое местоположение использовать, исходя из стоимости протокола маршрутизации.

  • Адрес многоадресной рассылки. Адрес, который представляет группу узлов в сети. IPv6 использует их главным образом для отправки сообщений нескольким узлам по одному за раз, избегая использования широковещательных адресов, поскольку они достигают каждого узла в сети. Примером является NDP (протокол обнаружения соседей), который используется в качестве замены ARP IPv4.

IPv6 определил много разных многоадресных адресов. Локальный многоадресный адрес ссылки - ff02::1 .

Если со скомпрометированного хоста злоумышленник отправляет пинг по этому адресу, он достигает всех хостов в сети.

Примерно так в Windows:

ping - 6 ff02::1

или это в линуксе

ping6 -I eth0 ff02::1

будет получать ответы от всех хостов, что-то вроде этого:

64 bytes from fe80::215:5dff:fe01:2909: icmp_seq=1 ttl=64 time=0.028 ms
64 bytes from fe80::215:5dff:fe01:2911: icmp_seq=1 ttl=64 time=3.57 ms (DUP!)
64 bytes from fe80::20f:d3ff:fe59:cae3: icmp_seq=1 ttl=64 time=9.08 ms (DUP!)
64 bytes from fe80::215:5dff:fe60:152: icmp_seq=1 ttl=64 time=17.4 ms (DUP!)

И затем легко собрать IPv6-адрес всех хостов в сети, и злоумышленник может начать атаковать каждый из них.

Поскольку ответы являются локальными адресами ссылок, если злоумышленник хочет проверить, сколько из них доступно вне сети, их необходимо преобразовать в глобальный адрес, заменив начальный fe80: префиксом подсети IPv6.


Существуют и другие многоадресные адреса IPv6, которые могут быть полезны злоумышленнику. В следующем списке перечислены официально определенные многоадресные адреса IPv6.

Address     Description

ff02::1     All nodes on the local network segment
ff02::2     All routers on the local network segment
ff02::5     OSPFv3 All SPF routers
ff02::6     OSPFv3 All DR routers
ff02::8     IS-IS for IPv6 routers
ff02::9     RIP routers
ff02::a     EIGRP routers
ff02::d     PIM routers
ff02::16    MLDv2 reports
ff02::1:2   All DHCP servers and relay agents on the local network segment 
ff02::1:3   All LLMNR hosts on the local network segment
ff05::1:3   All DHCP servers on the local network site
ff0x::c     Simple Service Discovery Protocol
ff0x::fb    Multicast DNS
ff0x::101   Network Time Protocol
ff0x::108   Network Information Service
ff0x::181   Precision Time Protocol (PTP) version 2 messages except peer delay measurement
ff02::6b    Precision Time Protocol (PTP) version 2 peer delay measurement messages
ff0x::114   Experimental

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .