3
IPv6 - VerständnisProblem
Hallo,
ich habe einmal eine Verständnisfrage zu IPv6. In diesem Bereich fehlt mir definitiv noch einiges an Fachwissen, weshalb ich jemanden benötige, der mir einen Ausschnitt aus einer Logdatei einmal erläutern kann.
Es handelt sich dabei um folgenden Eintrag aus einer Firewall von einem Windows Client:
Ereignis: Datenverkehr
IP-Adresse/Benutzer: FE80:0000:0000:0000:3C5E:9076:F06C:B0F4
Nachricht: Blockiert Eingehend ICMPv6 Unbekannt - Quelle FE80:0000:0000:0000:3C5E:9076:F06C:B0F4 Ziel FF02:0000:0000:0000:0000:0001:FF46:1797
Übereinstimmung mit Regel: Sämtlichen Verkehr blockieren
Ereignis: Datenverkehr
IP-Adresse/Benutzer: FE80:0000:0000:0000:C940:C0D7:6108:E393
Nachricht: Blockiert Eingehend ICMPv6 Unbekannt - Quelle FE80:0000:0000:0000:C940:C0D7:6108:E393 Ziel FF02:0000:0000:0000:0000:0001:FF01:0D01
Übereinstimmung mit Regel: Sämtlichen Verkehr blockieren
Meine Fragen hierzu:
1) Um was für eine Ziel-IP handelt es sich hier genau? Ich habe gelesen, dass "FF02::1" Multicast Adressen sind. Allerdings verstehe ich nicht, wofür der letzte Bereich dient ":FF46:1797" bzw. "FF01:0D01" dient.
2) Wer oder was sendet bei mir im Netzwerk diese ICMP Pakete? Wie kann ich den entsprechenden Client herausfinden?
ich habe einmal eine Verständnisfrage zu IPv6. In diesem Bereich fehlt mir definitiv noch einiges an Fachwissen, weshalb ich jemanden benötige, der mir einen Ausschnitt aus einer Logdatei einmal erläutern kann.
Es handelt sich dabei um folgenden Eintrag aus einer Firewall von einem Windows Client:
Ereignis: Datenverkehr
IP-Adresse/Benutzer: FE80:0000:0000:0000:3C5E:9076:F06C:B0F4
Nachricht: Blockiert Eingehend ICMPv6 Unbekannt - Quelle FE80:0000:0000:0000:3C5E:9076:F06C:B0F4 Ziel FF02:0000:0000:0000:0000:0001:FF46:1797
Übereinstimmung mit Regel: Sämtlichen Verkehr blockieren
Ereignis: Datenverkehr
IP-Adresse/Benutzer: FE80:0000:0000:0000:C940:C0D7:6108:E393
Nachricht: Blockiert Eingehend ICMPv6 Unbekannt - Quelle FE80:0000:0000:0000:C940:C0D7:6108:E393 Ziel FF02:0000:0000:0000:0000:0001:FF01:0D01
Übereinstimmung mit Regel: Sämtlichen Verkehr blockieren
Meine Fragen hierzu:
1) Um was für eine Ziel-IP handelt es sich hier genau? Ich habe gelesen, dass "FF02::1" Multicast Adressen sind. Allerdings verstehe ich nicht, wofür der letzte Bereich dient ":FF46:1797" bzw. "FF01:0D01" dient.
2) Wer oder was sendet bei mir im Netzwerk diese ICMP Pakete? Wie kann ich den entsprechenden Client herausfinden?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 321304
Url: https://administrator.de/contentid/321304
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
3 Kommentare
Neuester Kommentar
Einfach mal im RFC nachsehen, da steht doch alles schwarz auf weiss !! Bei Dr. Google in 3 Minuten erledigt...
1.)
Link-Local Scope Multicast Addresses:
http://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast ...
2.)
Das steht doch auch explizit in deinem Trace:
Quelle: FE80:0000:0000:0000:3C5E:9076:F06C:B0F4
RFC 4291 beschreibt wie diese Link Local Unicast Adressen generiert werden:
https://tools.ietf.org/html/rfc4291
Das ist immer ein 10Bit Prefix 0xfe80 gefolgt von 54 zero Bits und dann einer 64-bit Interface ID.
Der Interface Identifier wird gebildet aus der Mac Adresse per EUI-64. Guckst du hier:
http://packetlife.net/blog/2008/aug/4/eui-64-ipv6/
Damit kannst du auf die Mac Adresse und damit das Endgerät schliessen.
Nutzt das Endgerät allerdings Privacy Extensions:
https://tools.ietf.org/html/rfc4941
http://www.heise.de/netze/artikel/IPv6-Privacy-Extensions-einschalten-1 ...
wirds natürlich etwas schwieriger.
Buchtipp für dich damit's bei simplen IPv6 Fragen nicht mehr so klemmt:
https://www.amazon.de/IPv6-Workshop-Zweite-Auflage-Dan-Lüdtke-ebook ...
1.)
Link-Local Scope Multicast Addresses:
http://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast ...
2.)
Das steht doch auch explizit in deinem Trace:
Quelle: FE80:0000:0000:0000:3C5E:9076:F06C:B0F4
RFC 4291 beschreibt wie diese Link Local Unicast Adressen generiert werden:
https://tools.ietf.org/html/rfc4291
Das ist immer ein 10Bit Prefix 0xfe80 gefolgt von 54 zero Bits und dann einer 64-bit Interface ID.
Der Interface Identifier wird gebildet aus der Mac Adresse per EUI-64. Guckst du hier:
http://packetlife.net/blog/2008/aug/4/eui-64-ipv6/
Damit kannst du auf die Mac Adresse und damit das Endgerät schliessen.
Nutzt das Endgerät allerdings Privacy Extensions:
https://tools.ietf.org/html/rfc4941
http://www.heise.de/netze/artikel/IPv6-Privacy-Extensions-einschalten-1 ...
wirds natürlich etwas schwieriger.
Buchtipp für dich damit's bei simplen IPv6 Fragen nicht mehr so klemmt:
https://www.amazon.de/IPv6-Workshop-Zweite-Auflage-Dan-Lüdtke-ebook ...
Zitat von @Jannis92:
Meine Fragen hierzu:
1) Um was für eine Ziel-IP handelt es sich hier genau? Ich habe gelesen, dass "FF02::1" Multicast Adressen sind. Allerdings verstehe ich nicht, wofür der letzte Bereich dient ":FF46:1797" bzw. "FF01:0D01" dient.
Meine Fragen hierzu:
1) Um was für eine Ziel-IP handelt es sich hier genau? Ich habe gelesen, dass "FF02::1" Multicast Adressen sind. Allerdings verstehe ich nicht, wofür der letzte Bereich dient ":FF46:1797" bzw. "FF01:0D01" dient.
https://en.wikipedia.org/wiki/Solicited-node_multicast_address
2) Wer oder was sendet bei mir im Netzwerk diese ICMP Pakete? Wie kann ich den entsprechenden Client herausfinden?
Schau in der MAC-Liste nach, ggf vorher einen ping machen oder einen netzwerkscan.
lks
Nachdem diese Nachrichten aus der selben Broadcast-Domain kommen kannst du auch einfach im NDP-Cache nachsehen, zu welcher MAC-Adresse die Source-Adresse gehört und damit den Client identifizieren.
Multicast ist aber etwas, was bei IPv6 für die unterschiedlichsten Dienste genutzt wird - z.B. NDP oder RA.
Wenn du ungewollte Multicasts im Netzwerk verhindern willst, musst du auf den Switches die Multicast-Gruppen einschränken in die deine Clients joinen können. Das gilt für IPv4 aber ebenfalls
Du musst aber natürlich mindestens NDP erlauben, da du sonst IPv6 im Netzwerk nicht mehr verwenden kannst.
Multicast ist aber etwas, was bei IPv6 für die unterschiedlichsten Dienste genutzt wird - z.B. NDP oder RA.
Wenn du ungewollte Multicasts im Netzwerk verhindern willst, musst du auf den Switches die Multicast-Gruppen einschränken in die deine Clients joinen können. Das gilt für IPv4 aber ebenfalls
Du musst aber natürlich mindestens NDP erlauben, da du sonst IPv6 im Netzwerk nicht mehr verwenden kannst.
