it-swarm-ja.com

IPv6アドレスに基づいてローカルネットワーク上のデバイスを識別します

Day™がついに登場しました。今までIPv6を避けてきましたが、至福の無知は終わらせなければなりません。

Avalancheボットネットに対する最近の法執行活動で、ネットワーク上のデバイスがオフラインにしたC&Cサーバーの1つに対してDNSルックアップを実行したことをISPから通知されました。そのデバイスを見つけて処理する必要があるため、DNSサーバーでのログ記録を有効にしました。最後に4日後に一致するDNSルックアップ要求が行われましたが、残念なことに、要求はアドレスfe80::113d:d91e:e685:943bクラップIPv6に関しては初心者で、マルウェアの一部である60以上のノードネットワーク上にマシンを持っています-ボットネットを噴出。

私はtracertを実行し、ローカルリンク上にあり、現在オンラインであると判断しました。

Tracing route to fe80::113d:d91e:e685:943b over a maximum of 30 Hops

  1     9 ms    <1 ms     1 ms  fe80::113d:d91e:e685:943b

IPv4デバイスでは、DHCPリースを調べてデバイス名を取得できます。それが失敗した場合は、pingしてからarp -aでMACアドレスを取得します。これにより、少なくとも製造元に通知されます。しかし、このネットワークにはIPv6 DHCPサーバーがなく、arpはIPv6を話しません。

私はIPv6で短期集中コースを試み、fe80プレフィックスは、アドレスがリンクローカルであり、おそらくアドレスからMACアドレスを導出できることを意味します。 I 試してみた でMACを取得13:3d:d9:85:94:3b。 OUIルックアップツールはそれを認識せず、IPv4 DHCPリースに表示されません。

ネットワーク上のどのデバイスがこのIPv6アドレスを持っているかをどのように判断できますか?

サーバーと、トラブルシューティングを行うマシンでWindowsを実行しています。

このコメント のおかげで、別のスーパーユーザー answer にコマンドを見つけました。

netsh int ipv6 show neighbors

嬉しいことに、arp -aと同じように、ローカルリンク上のデバイスのMACアドレスがわかります。

Interface 10: Local Area Connection

Internet Address                              Physical Address   Type
--------------------------------------------  -----------------  -----------
<redacted>
fe80::113d:d91e:e685:943b                     4c-72-b9-d2-b5-5d  Reachable
<redacted>

次に、物理アドレスをDHCPサーバーのIPv4リースと比較して、問題のあるデバイスのNetBIOS名を取得することができました。簡単な簡単。


このMACアドレスがこの特定のIPv6アドレスを生成する理由がまだわかりません。この オンラインコンバーター によると、そのリンクローカルIPv6アドレスはfe80::4e72:b9ff:fed2:b55dである必要があります。しかし、それは別の質問です...