Ich bin gerade auf diese Aussage gestoßen.
Das Scannen eines IPv6-Netzwerks bietet jedoch eine große Anzahl von Hosts in einem Subnetz, wenn ein Angreifer einen Host im Subnetz kompromittieren kann; Angreifer können dieAlle Host-Link-Local-Multicast-Adressen.
Mir ist bewusst, dass IPv6 ein größeres Subnetz mit Adressierungsschemata von etwa 128 Bit hat und dass das Scannen des Netzwerks mit herkömmlichen Scanmethoden deshalb mühsam wird. Aber was genau bedeutet das all host link local multicast?
Antwort1
In IPv6 gibt es verschiedene Arten von Adressen:
Die Unicast-Adresse ist die eindeutige Adresse eines Knotens.
Anycast-Adresse: Normalerweise ein IP-Präfix, das von mehreren Standorten aus bekannt gegeben wird. Es leitet im Netzwerk die Entscheidung weiter, welcher Standort basierend auf den Kosten des Routingprotokolls verwendet werden soll.
Multicast-Adresse. Eine Adresse, die eine Gruppe von Knoten im Netzwerk repräsentiert. IPv6 verwendet sie hauptsächlich, um Nachrichten gleichzeitig an mehrere Knoten zu senden und vermeidet damit die Verwendung von Broadcast-Adressen, da diese jeden Knoten im Netzwerk erreichen. Ein Beispiel ist das NDP (Neighbour Discovery Protocol), das als Ersatz für IPv4 ARP verwendet wird.
IPv6 hat eine Vielzahl unterschiedlicher Multicast-Adressen definiert.Link lokalDie Multicast-Adresse lautet ff02::1.
Wenn ein Angreifer von einem kompromittierten Host einen Ping an diese Adresse sendet, erreicht der Ping alle Hosts im Netzwerk.
In Windows etwa so:
ping - 6 ff02::1
oder dies unter Linux
ping6 -I eth0 ff02::1
Sie erhalten Antworten von allen Hosts, etwa diese:
64 bytes from fe80::215:5dff:fe01:2909: icmp_seq=1 ttl=64 time=0.028 ms
64 bytes from fe80::215:5dff:fe01:2911: icmp_seq=1 ttl=64 time=3.57 ms (DUP!)
64 bytes from fe80::20f:d3ff:fe59:cae3: icmp_seq=1 ttl=64 time=9.08 ms (DUP!)
64 bytes from fe80::215:5dff:fe60:152: icmp_seq=1 ttl=64 time=17.4 ms (DUP!)
Und dann ist es ein Leichtes, die IPv6-Adressen aller Hosts im Netzwerk zu erfassen und der Angreifer kann beginnen, jeden einzelnen davon anzugreifen.
Da die AntwortenLink-lokalAdressen Wenn der Angreifer testen möchte, wie viele von ihnen von außerhalb des Netzwerks erreichbar sind, müssen sie umgewandelt werden inweltweitAdresse, wobei der Anfangsbuchstabe fe80:durch das IPv6-Subnetzpräfix ersetzt wird.
Es gibt noch weitere IPv6-Multicast-Adressen, die für einen Angreifer nützlich sein können. Die folgende Liste zeigt die offiziell definierten IPv6-Multicast-Adressen.
Address Description
ff02::1 All nodes on the local network segment
ff02::2 All routers on the local network segment
ff02::5 OSPFv3 All SPF routers
ff02::6 OSPFv3 All DR routers
ff02::8 IS-IS for IPv6 routers
ff02::9 RIP routers
ff02::a EIGRP routers
ff02::d PIM routers
ff02::16 MLDv2 reports
ff02::1:2 All DHCP servers and relay agents on the local network segment
ff02::1:3 All LLMNR hosts on the local network segment
ff05::1:3 All DHCP servers on the local network site
ff0x::c Simple Service Discovery Protocol
ff0x::fb Multicast DNS
ff0x::101 Network Time Protocol
ff0x::108 Network Information Service
ff0x::181 Precision Time Protocol (PTP) version 2 messages except peer delay measurement
ff02::6b Precision Time Protocol (PTP) version 2 peer delay measurement messages
ff0x::114 Experimental