Ric*_*den 4 ipv6 port-scanning
在 IPv4 下,我经常使用 nmap 扫描我的整个 IP 范围以识别新连接的设备并更新我的文档、追踪和关闭不属于网络的东西等。我什至有自动执行此操作的工具,例如,我的 AV 软件扫描定义的 IP 范围,然后在该范围内它可以看到的任何内容上安装 AV 软件。
这在 IPv6 下是不可行的,因为我将从扫描几千个 IP 地址到很多个。
替代方案是什么?路由器/交换机能否报告他们最近看到的 IPv6 地址,以便我可以端口扫描网络上的所有内容?这是我能看到的唯一方法,但我希望SF会有更多更好的想法。
是的,对 IPv6 网络的暴力扫描是徒劳的,这对网络安全来说是一件非常好的事情。作为系统管理员,您仍然可以使用许多信息来源来帮助密切关注您的网络:
您网络上的路由器(大概运行 radvd)可以记录请求 IPv6 无状态自动配置的客户端。如果您想强制所有自动配置客户端发送路由器请求,您可以关闭 radvd 的定期免费路由器广告。
您的 DHCPv6 服务器(如果有的话)可以记录所有请求/接收 IPv6 状态配置的客户端。
您可以嗅探 ICMPv6 流量,其中包括邻居请求多播(相当于 IPv4 ARP)。您网络上的任何设备尝试使用静态配置“隐藏”自己,仍必须发送此类数据包,以便与本地链接上的其他设备进行通信。
当然,您自己的服务器将有正确记录的静态 IP 地址,因此您始终知道如何访问它们。在 IPv4 中为服务器提供静态 DHCP 租约是一个坏主意,而在 IPv6 中这样做仍然是一个坏主意。
IPv6 还处于早期阶段,但我预计在未来几年,我们将开始看到 DNS 和 radvd/DHCPv6 之间更好的集成,从而更好的网络库存/报告工具,这是必要的。