遇到了 ipv6 扫段

252 天前
 bobryjosin
之前在 he 申请了 6to4 隧道,用来访问 chatgpt ,不过已经很久没用了一直就是闲置状态,也忘记把隧道停掉,今天打开 routeros 的 interface 发现 he 隧道的 Rx/Tx 一直有数据,检查 ipv6 防火墙的 connections 有个电信的 ipv6 一直在扫。

只给 routeros 的 6to4 接口分配了地址,winbox 和 ssh 也限制了 ip 段,也没有给局域网任何设备分配地址,所以没出什么事情,也算给大伙提个醒,记得做好 ipv6 防火墙配置,不过这么扫也很难撞上,如果直接用 he 的配置文件路由器倒是会直接暴露。

后面我直接删了这个接口,这个地址是个机房 ip 而且 ssh 端口是开的[240e:f7:4f01:c::2],如果各位大佬有空可以看看。
2128 次点击
所在节点    宽带症候群
4 条回复
ac169
251 天前
如果你是浙江电信用户,那么应该电信在扫描你是否有违规业务!

个人觉得(分析): 隧道本身就是透明协议运营商很容易知道是内网曾经使用过的地址, 所以个人觉得这些都是曾经内网使用过的地址和端口然后用这些信息反向扫描不存在扫段的说法!
bobryjosin
251 天前
@ac169 我是南京电信,而且隧道并不是公网裸跑,外面套了一层 ipip tunnel with ipsec 出口是新加坡的 chr ,应该不是被运营商嗅探到了,换了一个段他还是在扫原来的段,不过因为接口地址换了,路由器不会响应发过来的包,观察下来他只会尝试 80,443,8080,8443,2222,22,3389 这几个端口,不像是运营商行为。
ac169
251 天前
@bobryjosin

1. 240e:f7:4f01:c:: 这个段就很特殊 (骨干 省干 城域 IDC 家宽 政企等分类)
2. 80,443,8080,8443,2222,22,3389 这些端口本身在监管范围, 如果是黑扫的话应该还有 3306 1433 等这些端口.
3. 被扫地址后缀都是随机的, 如果是扫段的话不知道这个是什么高级算法
4. ipsec 这个我不是很了解, 我记得有两种加密模式, 其中一种只是加密发送的数据,隧道本身不加密.

主要是 1 和 2 这两个原因, 目前个人还是觉得属于运营商, 某些监管或安全公司的行为可能性居多, 具体的只能你自己观察了!
Ipsum
247 天前
v6 还能扫?我觉得是电信机房在扫。也只有他们知道哪些 ip 是有效的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1024085

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX