Identifique o dispositivo na rede local com base no endereço IPv6

Navegue suas respostas
3

O Day ™ finalmente chegou. Eu evitei o IPv6 até agora, mas minha ignorância feliz deve terminar.

Meu ISP me notificou que um dispositivo da minha rede realizava uma pesquisa de DNS para um dos servidores C & C colocados off-line na recente ação de imposição da lei contra o botnet Avalanche. Eu preciso encontrar esse dispositivo e lidar com isso, então eu habilitei o log no meu servidor DNS. Finalmente, após quatro dias, uma solicitação de pesquisa de DNS correspondente foi feita, mas, para meu espanto, a solicitação veio do endereço fe80::113d:d91e:e685:943b . Porcaria. Eu sou um noob quando se trata de IPv6 e eu tenho uma máquina na minha rede de 60+ nós que faz parte de um botnet de vomitar malware.

Corri tracert e determinei que está no link local e atualmente on-line: 

Tracing route to fe80::113d:d91e:e685:943b over a maximum of 30 hops

  1     9 ms    <1 ms     1 ms  fe80::113d:d91e:e685:943b

Com um dispositivo IPv4, posso ver minhas concessões DHCP para obter o nome do dispositivo. Caso contrário, eu faria o ping e, em seguida, executaria arp -a para obter seu endereço MAC, que pelo menos me fornece o fabricante. Mas esta rede não tem um servidor DHCP IPv6 e o arp não parece falar IPv6.

Eu tentei um curso intensivo em IPv6 e aprendi que o prefixo fe80 significa que o endereço é link-local e que eu posso supostamente derivar o endereço MAC do endereço. Eu tentei e obter o MAC 13:3d:d9:85:94:3b . Nenhuma das ferramentas de pesquisa OUI reconhece e não aparece em minhas concessões DHCP IPv4.

Como posso determinar qual dispositivo da minha rede tem esse endereço IPv6?

Meus servidores e as máquinas onde eu faço a minha solução de problemas estão executando o Windows.

    
por Twisty Impersonator 17.12.2017 / 04:23

1 resposta

4

Agradecemos a este comentário em outro Superusuário answer , descobri o comando: 

netsh int ipv6 show neighbors

Para minha grande alegria, descobri que é o endereço MAC dos dispositivos no link local, assim como arp -a : 

Interface 10: Local Area Connection

Internet Address                              Physical Address   Type
--------------------------------------------  -----------------  -----------
<redacted>
fe80::113d:d91e:e685:943b                     4c-72-b9-d2-b5-5d  Reachable
<redacted>

Depois, consegui comparar o endereço físico com as concessões IPv4 no meu servidor DHCP e obter o nome NetBIOS do dispositivo ofensivo. Fácil peasy.

Eu ainda não entendo porque esse endereço MAC está resultando neste endereço IPv6 específico. De acordo com este conversor on-line , seu endereço IPv6 local de link deve ser fe80::4e72:b9ff:fed2:b55d . Mas isso é outra questão ...

    
por 17.12.2017 / 04:57

Tags

Bash trava no subsistema Linux no Windows 10 Múltipla leitura de um arquivo txt no bash (processamento paralelo)