5474149378
25.01.2023
635
4
0
IPv6 Discard-Only Address Block Block
Moin zusamen,
ich habe eine Phishing-Email bekommen und bin eher der Mensch der sowas gern analysiert^^. >Mit IP6 habe ich bisher leider wenig Berührungspunkte gehabt
urlscan.io kann die Seite nicht scannen. DNS-technisch ist scheinbar nur eine IPv6 Adresse hinterlegt, nämlich die 100::
Bei der IANA habe ich dazu gefunden, dass der Bereich 100::/64 (Link für den Bereich "Discard-Only Address Block" und der Dokumentation RFC6666 genutzt wird/dokumentiert ist.
Ich kann mir darunter, aber nicht wirklich etwas vorstellen. Daher die Fragen:
1. Die IP-Adresse 100:: ist global nicht routbar?
2. Was bringt es dem Angreifer den geschickten Link auf die 100:: Adresse zu mappen, wenn diese nicht routbar ist oder hat der DNS-Provider das Phishing erkannt und die DNS-technisch gleich gesperrt?
Grüße
ich habe eine Phishing-Email bekommen und bin eher der Mensch der sowas gern analysiert^^. >Mit IP6 habe ich bisher leider wenig Berührungspunkte gehabt
urlscan.io kann die Seite nicht scannen. DNS-technisch ist scheinbar nur eine IPv6 Adresse hinterlegt, nämlich die 100::
Bei der IANA habe ich dazu gefunden, dass der Bereich 100::/64 (Link für den Bereich "Discard-Only Address Block" und der Dokumentation RFC6666 genutzt wird/dokumentiert ist.
Ich kann mir darunter, aber nicht wirklich etwas vorstellen. Daher die Fragen:
1. Die IP-Adresse 100:: ist global nicht routbar?
2. Was bringt es dem Angreifer den geschickten Link auf die 100:: Adresse zu mappen, wenn diese nicht routbar ist oder hat der DNS-Provider das Phishing erkannt und die DNS-technisch gleich gesperrt?
Grüße
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5621885584
Url: https://administrator.de/forum/ipv6-discard-only-address-block-block-5621885584.html
Ausgedruckt am: 29.04.2025 um 04:04 Uhr
4 Kommentare
Neuester Kommentar
1. Die IP-Adresse 100:: ist global nicht routbar?
Nein.2. Was bringt es dem Angreifer den geschickten Link auf die 100:: Adresse zu mappen, wenn diese nicht routbar ist oder hat der DNS-Provider das Phishing erkannt und die DNS-technisch gleich gesperrt?
Da hat vermutlich schon ein Eingriff der Behörden/Provider im DNS stattgefunden, um Anfragen an die Domain ins leere laufen zu lassen.Gruß Wurstel
Alles klar. Danke dir!
Mich hatte nur gewundert, weil der Wert im Link für Forwardable auf True steht. Wie genau muss ich mir das vorstellen? Wird die 100:: Adresse direkt intern am Rechner aufgelöst oder werden tatsächlich irgendwelche Pakete irgendwohin versandt und werden einfach verworfen (würde das Forwardable erklären)?
Mich hatte nur gewundert, weil der Wert im Link für Forwardable auf True steht. Wie genau muss ich mir das vorstellen? Wird die 100:: Adresse direkt intern am Rechner aufgelöst oder werden tatsächlich irgendwelche Pakete irgendwohin versandt und werden einfach verworfen (würde das Forwardable erklären)?
Zitat von @5474149378:
Mich hatte nur gewundert, weil der Wert im Link für Forwardable auf True steht.
Forwardable ja, aber global routbar nicht (andere Spalte). Das sind zwei separate Dinge.Mich hatte nur gewundert, weil der Wert im Link für Forwardable auf True steht.
Das Forwardable bedeutet hier nur das der Block überhaupt routebar ist, also die eigene Layer-2 Domain verlassen darf.
Wie genau muss ich mir das vorstellen? Wird die 100:: Adresse direkt intern am Rechner aufgelöst oder werden tatsächlich irgendwelche Pakete irgendwohin versandt und werden einfach verworfen (würde das Forwardable erklären)?
Den Block kann man intern durchaus nutzen, sofern man alle Firewalls im Zugriff hat, am Ende wird es aber zu 99,9% so sein das Firewalls/Gateways diesen speziellen Adressblock beim Forwarding blocken und erst gar nicht ins WAN Routen, das kommt auf das Gateway/OS an wie es den Block handhabt. ISP Gateways lassen solchen Traffic erst gar nicht durch, vernünftige Router daheim und im Office leiten solchen Traffic auch nicht weiter sofern sie die RFCs konform umsetzen.
Alles klar, danke dir ! :D
