Qual filtro Wireshark devo usar para rastrear anúncios de servidores DNS IPv6 na rede? Não vejo nenhum tráfego DHCPv6 na minha rede, então presumo que a configuração dos clientes esteja acontecendo por meio de anúncios de roteador.
No entanto, quando uso o filtro a seguir ( (icmpv6.type == 134 ) || dhcpv6) para ver todos os anúncios de roteador e mensagens DHCPv6 no Wireshark, posso ver meu servidor DNS preferido se anunciando por meio de anúncios de roteador.
ICMPv6 Option (Recursive DNS Server DNS:Server:Address)
Type: Recursive DNS Server (25)
Length: 3 (24 bytes)
Reserved
Lifetime: 118
Recursive DNS Servers: DNS:Server:Address
Meu roteador também envia anúncios de roteador, mas não há nenhum conteúdo RDNSS nessas mensagens. Existem algumas mensagens DHCPv6, mas são apenas solicitações enviadas por clientes.
Vejo clientes configurados com um servidor DNS diferente (endereço do meu roteador), além do meu servidor DNS preferido, e estou coçando a cabeça para saber de onde eles estão obtendo essa configuração.
Onde mais posso procurar anúncios DNSv6?
Atualizar: Como apontado por @vidarloabaixo, o que tenho visto são opções de RDNSS em anúncios de roteador ICMPv6, não em DHCPv6. Consegui rastrear a configuração do meu roteador que desativa o RDNSS, que está dentro de uma interface chamada DHCP. Desativei isso e verifiquei com o Wireshark para monitorá-los. O filtro Wireshark para pacotes que incluem uma opção RDNSS é icmpv6.opt.rdnsse posso ver que meu roteador não está mais enviando pacotes com este conjunto.
No entanto, meus clientes Windows e macOS ainda decidem de vez em quando usar o roteador para resolução DNS IPv6 e ignorar as opções RDNSS enviadas pelo meu PiHole. Isso continua a acontecer semanas após a desativação da configuração RDNSS no roteador e não há mais pacotes com essa configuração, apesar do PiHole enviar seu próprio endereço como uma opção RDNSS, muitas reinicializações de tudo e a confirmação de que não há configurações manuais em vigor.
Atualização 2: Depois de alternar o IPv6 no meu Mac, vi no filtro wireshark icmpv6.opt.rdnss || dhcpv6que tanto meu roteador quanto meu servidor PiHole estão respondendo às solicitações DHCPv6 com seus próprios endereços IP como servidor DNS, então meus clientes usam o pacote que recebem primeiro - eu DHCP clássico situação racial. Isso explica o problema. Que vergonha, TP-Link, por não possibilitar desabilitar o DHCPv6 em todos os seus roteadores!
Responder1
Isso normalmente faz parte das mensagens RA:
Isso deve ser enviado pelo host que envia mensagens de anúncio do roteador, e você provavelmente deve configurar o mecanismo usado para enviar RAs com o servidor DNS apropriado.
Se nenhuma mensagem desse tipo for configurada, seus hosts provavelmente possuem servidores DNS IPv6 definidos estaticamente ou não estão usando DNS em IPv6.
Responder2
Use o Wireshark para encontrar anúncios de roteadores DHCPv6 e ICMPv6 usando o seguinte filtro:
icmpv6.opt.rdnss || dhcpv6.option.type == 23
Você pode então ver os detalhes de todos os pacotes que podem ser usados por clientes IPv6 para definir quais servidores DNS usar.
Observe que você só poderá ver pacotes DHCPv6 dessa natureza em resposta a uma solicitação de configurações DHCPv6, portanto, alterne o IPv6 em um cliente para acionar isso.