jannis92
Goto Top

IPv6 - VerständnisProblem

Hallo,
ich habe einmal eine Verständnisfrage zu IPv6. In diesem Bereich fehlt mir definitiv noch einiges an Fachwissen, weshalb ich jemanden benötige, der mir einen Ausschnitt aus einer Logdatei einmal erläutern kann.

Es handelt sich dabei um folgenden Eintrag aus einer Firewall von einem Windows Client:

Ereignis: Datenverkehr
IP-Adresse/Benutzer: FE80:0000:0000:0000:3C5E:9076:F06C:B0F4
Nachricht: Blockiert Eingehend ICMPv6 Unbekannt - Quelle FE80:0000:0000:0000:3C5E:9076:F06C:B0F4 Ziel FF02:0000:0000:0000:0000:0001:FF46:1797
Übereinstimmung mit Regel: Sämtlichen Verkehr blockieren

Ereignis: Datenverkehr
IP-Adresse/Benutzer: FE80:0000:0000:0000:C940:C0D7:6108:E393
Nachricht: Blockiert Eingehend ICMPv6 Unbekannt - Quelle FE80:0000:0000:0000:C940:C0D7:6108:E393 Ziel FF02:0000:0000:0000:0000:0001:FF01:0D01
Übereinstimmung mit Regel: Sämtlichen Verkehr blockieren


Meine Fragen hierzu:
1) Um was für eine Ziel-IP handelt es sich hier genau? Ich habe gelesen, dass "FF02::1" Multicast Adressen sind. Allerdings verstehe ich nicht, wofür der letzte Bereich dient ":FF46:1797" bzw. "FF01:0D01" dient.

2) Wer oder was sendet bei mir im Netzwerk diese ICMP Pakete? Wie kann ich den entsprechenden Client herausfinden?

Content-ID: 321304

Url: https://administrator.de/forum/ipv6-verstaendnisproblem-321304.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

aqui
aqui 17.11.2016 aktualisiert um 18:09:02 Uhr
Goto Top
Einfach mal im RFC nachsehen, da steht doch alles schwarz auf weiss !! Bei Dr. Google in 3 Minuten erledigt...
1.)
Link-Local Scope Multicast Addresses:
http://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast ...
2.)
Das steht doch auch explizit in deinem Trace:
Quelle: FE80:0000:0000:0000:3C5E:9076:F06C:B0F4
RFC 4291 beschreibt wie diese Link Local Unicast Adressen generiert werden:
https://tools.ietf.org/html/rfc4291

Das ist immer ein 10Bit Prefix 0xfe80 gefolgt von 54 zero Bits und dann einer 64-bit Interface ID.
Der Interface Identifier wird gebildet aus der Mac Adresse per EUI-64. Guckst du hier:
http://packetlife.net/blog/2008/aug/4/eui-64-ipv6/

Damit kannst du auf die Mac Adresse und damit das Endgerät schliessen.
Nutzt das Endgerät allerdings Privacy Extensions:
https://tools.ietf.org/html/rfc4941
http://www.heise.de/netze/artikel/IPv6-Privacy-Extensions-einschalten-1 ...
wirds natürlich etwas schwieriger.

Buchtipp für dich damit's bei simplen IPv6 Fragen nicht mehr so klemmt:
https://www.amazon.de/IPv6-Workshop-Zweite-Auflage-Dan-Lüdtke-ebook ...
Lochkartenstanzer
Lochkartenstanzer 17.11.2016 aktualisiert um 18:31:18 Uhr
Goto Top
Zitat von @Jannis92:

Meine Fragen hierzu:
1) Um was für eine Ziel-IP handelt es sich hier genau? Ich habe gelesen, dass "FF02::1" Multicast Adressen sind. Allerdings verstehe ich nicht, wofür der letzte Bereich dient ":FF46:1797" bzw. "FF01:0D01" dient.


https://en.wikipedia.org/wiki/Solicited-node_multicast_address


2) Wer oder was sendet bei mir im Netzwerk diese ICMP Pakete? Wie kann ich den entsprechenden Client herausfinden?

Schau in der MAC-Liste nach, ggf vorher einen ping machen oder einen netzwerkscan.

lks
LordGurke
LordGurke 17.11.2016 aktualisiert um 21:00:45 Uhr
Goto Top
Nachdem diese Nachrichten aus der selben Broadcast-Domain kommen kannst du auch einfach im NDP-Cache nachsehen, zu welcher MAC-Adresse die Source-Adresse gehört und damit den Client identifizieren.

Multicast ist aber etwas, was bei IPv6 für die unterschiedlichsten Dienste genutzt wird - z.B. NDP oder RA.
Wenn du ungewollte Multicasts im Netzwerk verhindern willst, musst du auf den Switches die Multicast-Gruppen einschränken in die deine Clients joinen können. Das gilt für IPv4 aber ebenfalls face-wink
Du musst aber natürlich mindestens NDP erlauben, da du sonst IPv6 im Netzwerk nicht mehr verwenden kannst.