- 主题:问一个ipv6访问内网的问题
你说的那个扫描是 ipv4 ,这 thread 说的是 ipv6
国内几大运营商家宽给的ipv6前缀一般是 /56 或 /60, 按 /60 算,也就是给了 2^(128-60) = 2^68 (2的68次方) 个ip地址,每个设备获取的 ipv6地址不是按顺序排的,是 dhcpv6协议 在给定前缀的地址空间范围内随机分配的。如果是 /56 前缀,就是 2 ^(128 - 56 ) = 2 的 72 次方。
所以你试着扫描一个 2 的 68 次方的地址段,就知道这是不是裸奔了。
正常来说,就算你知道了前缀,扫描到你逝世,都没找到第一个可连通的设备。
【 在 eggcar 的大作中提到: 】
: 光猫开桥接,找个路由器拨号,路由器上防火墙配置一下试试
: 仔细看,禁用的是外对内发起的连接,内访问外没有任何问题
: 如果没有默认的防火墙,你的电脑连上网就跟裸奔没有区别,知道有多少自动扫描全网ip自动找漏洞挂马的robot吗?我挂在公网的机器每天被扫描的日志现在都懒得看了
: ...................
--
FROM 123.125.204.*
别现眼了,我天天开着n个也没人扫到过
操作系统对外发起v6请求的时候会自动申请一个临时v6地址来用。
你猜ipv6协议为什么让 dhcpv6协议在前缀范围内随机分配v6地址,以及对外发请求要使用另外随机分配的临时v6地址?
就算一秒钟扫一个ip(对tcp 和udp来说,各有65535个端口,而且udp是不回syn包的,只能死等,也不可能设超时1秒这么短,但姑且算你1秒能扫完1个ip ), 2 的 68 次方要3900多亿年才能扫完。就算你有电、有耐心、有足够二逼的运营商允许你发那么多报文出去扫描,也没命扛到扫描成功的那天,再有几十亿年太阳就要膨胀成红巨星了。
实际上ipv6这个协议什么都怕,就是不怕被扫描。
【 在 eggcar 的大作中提到: 】
: v6一样被扫,你开个试试就知道了
: 你的联网足迹有各种渠道泄露,根本不需要暴力穷举
:
--
FROM 123.125.204.*
别把你带进来这个话题带歪了,这个thread里是你说的ipv6怕被人扫描,而且“挂在公网的机器每天被扫描的日志现在都懒得看了"
ipv6这协议什么都怕,就是不怕被二逼扫描
【 在 eggcar 的大作中提到: 】
:
: 你不被扫是因为运营商不给你固定前缀,你也不使用固定后缀,你甚至不一定把防火墙完全关掉了,你再看一下楼主的诉求是啥?
: 别把话题带歪了,放开公网访问不就是为了要个固定至少短期固定的地址方便访问?关了防火墙你起个固定v6地址试一下,别光说不练
--
FROM 123.125.204.*
slaac生成的v6地址并不可被预测,二层的 mac 地址不会被三层传出去
ipv6开防火墙并不二逼,但是认为ipv6怕被人扫描而且“挂在公网的机器每天被扫描的日志现在都懒得看了" 是二逼
【 在 eggcar 的大作中提到: 】
: 你觉得随机地址能防扫描,但
: 1. 没有规则强制使用dhcpv6,大部分路由器开启v6之后默认都没开启dhcpv6,实际上你的客户端大概率是mac地址生成的固定后缀,mac生成的后缀就是可以被预测的,完全可以针对部分厂家的MAC地址段执行扫描
: 2. 哪怕你使用短期的固定后缀地址,你的上网足迹也会暴露,暴露了就会被记录,记录了就会被有针对地扫描,如果前缀轮换周期不够短呢?如果你开了v6的DDNS呢?
: ...................
--
FROM 123.125.204.*
我猜,看了这篇文章后脸疼的,是臆想ipv6“挂在公网的机器每天被扫描的日志现在都懒得看了" 的那位
【 在 eggcar 的大作中提到: 】
: [upload=1][/upload]
: 我都懒得多搜几页,随便一个关键词
: 脸疼不疼?
--
FROM 123.125.204.*