Day™がついに登場しました。今までIPv6を避けてきましたが、至福の無知は終わらせなければなりません。
Avalancheボットネットに対する最近の法執行活動で、ネットワーク上のデバイスがオフラインにしたC&Cサーバーの1つに対してDNSルックアップを実行したことをISPから通知されました。そのデバイスを見つけて処理する必要があるため、DNSサーバーでのログ記録を有効にしました。最後に4日後に一致するDNSルックアップ要求が行われましたが、残念なことに、要求はアドレスfe80::113d:d91e:e685:943b
。 クラップIPv6に関しては初心者で、マルウェアの一部である60以上のノードネットワーク上にマシンを持っています-ボットネットを噴出。
私はtracert
を実行し、ローカルリンク上にあり、現在オンラインであると判断しました。
Tracing route to fe80::113d:d91e:e685:943b over a maximum of 30 Hops
1 9 ms <1 ms 1 ms fe80::113d:d91e:e685:943b
IPv4デバイスでは、DHCPリースを調べてデバイス名を取得できます。それが失敗した場合は、pingしてからarp -a
でMACアドレスを取得します。これにより、少なくとも製造元に通知されます。しかし、このネットワークにはIPv6 DHCPサーバーがなく、arpはIPv6を話しません。
私はIPv6で短期集中コースを試み、fe80
プレフィックスは、アドレスがリンクローカルであり、おそらくアドレスからMACアドレスを導出できることを意味します。 I 試してみた でMACを取得13:3d:d9:85:94:3b
。 OUIルックアップツールはそれを認識せず、IPv4 DHCPリースに表示されません。
ネットワーク上のどのデバイスがこのIPv6アドレスを持っているかをどのように判断できますか?
サーバーと、トラブルシューティングを行うマシンでWindowsを実行しています。
このコメント のおかげで、別のスーパーユーザー answer にコマンドを見つけました。
netsh int ipv6 show neighbors
嬉しいことに、arp -a
と同じように、ローカルリンク上のデバイスのMACアドレスがわかります。
Interface 10: Local Area Connection
Internet Address Physical Address Type
-------------------------------------------- ----------------- -----------
<redacted>
fe80::113d:d91e:e685:943b 4c-72-b9-d2-b5-5d Reachable
<redacted>
次に、物理アドレスをDHCPサーバーのIPv4リースと比較して、問題のあるデバイスのNetBIOS名を取得することができました。簡単な簡単。
このMACアドレスがこの特定のIPv6アドレスを生成する理由がまだわかりません。この オンラインコンバーター によると、そのリンクローカルIPv6アドレスはfe80::4e72:b9ff:fed2:b55d
である必要があります。しかし、それは別の質問です...