12.08.2012

На сайте searchsecurity опубликована любопытная статья про IPv6-безопасность, а именно о ICMP-сканировании сетей. Неоднократно писали о том, что для полного сканирования /64-битной подсети (при условии установки тайм-аута в 1 сек) потребуется 2^64=1.8х10^19 секунд, то есть полмиллиарда лет. Но диапазон для сканирования можно уменьшить, руководствуясь следующими соображениями:

  • для «отлова» EUI-64 адресов можно задать средние байты равными ff:fe, то есть 16 бит предопределены. То есть если исходить из предположения, что сканируемая подсеть использует SLAAC, то задача упрощается.
  • поскольку старшие байты mac-адреса, которые выданы крупным производителям сетевого оборудования, хорошо и давно известны, то можно проводить сканирование «по вендорам», что сразу уменьшает диапазон сканирования до 24 бит.
  • широко используются словосочетания из знаков, допустимых в IPv6-адресе, вроде «cafe», «cofe», «face», «beef» и другие. Несомненно, скоро появятся словари для поиска адресов с такими сочетаниями.
  • многие «переходные» (или туннельные) системы, используемы для обмена IPv4-IPv6 «встраивают» в себя IPv4-адрес, формируя комбинацию вида 2001:db8::192:168:1:2, что тоже ускоряет сканирование.
  • а для провайдерских сервисов и устройств (DNS, роутеры и проч.) обычно выбирают адреса в начале подсети, так что можно ограничиться первой сотней для сканирования.

Вывод: весь диапазон /64 сканировать вовсе необязательно..

 


  *** Via IPv4 ***