发现 v6 被扫

IPv6 普及会不会使一些原本以 IPv4 NAT 隔离作为安全保障的内网变得不安全？ https://www.zhihu.com/question/555925827

这能惯着他？找个福州的机器送他 50G 玩玩

理论上来讲，nat 本身不提供安全性。
虽然 snat 确实一定程度上充当了防火墙。
不过说实话，感觉现代系统默认都有防火墙。自己开口子是另一回事。

这其实还是扫端口，某种方式拿到你的 ip 之后扫端口； v6 不会被扫描指的是不会被扫段（例如从 192.0.2.0 扫到 192.0.2.255 看有哪些主机活着）
比较在意的是 80 和 443 居然开着。

@maybeonly #3 只有部分省份封了 IPv6 的 80/443 ，坐标江苏移动，没封

我江苏电信的，光猫上有个防火墙设置为 低 之后，家里所有设备都可以 ipv6 从外网访问

@ragnaroks 怎么操作?
家里的 nas 有时候需要开 22 端口远程调试，也会发现有些 ip 会暴力登录

v6 在正式普及用起来之前，确实反而算是一片攻击者的蓝海

换个地址再看看如果还有，十有八九是你盒子上有“内鬼”。v6 下就算是 /64 的子网能用的地址大致都在千亿这个量级，个人觉得不会有人还像 v4 那样漫无目的的扫！

奇怪，路由器的防火墙不管是 IPv4 还是 IPv6 都会默认拒绝从 Internet 过来的包吗？难道有些路由器厂商不是这样做的吗？

这个是 ipv6 地址通过每种方式暴露了吧，正常没暴露很难找到能通的 ipv6 地址
bt 会暴露 ip

@kaedeair 10# "每种"->"某种"

扫描 IPv6 网络空间的一个难点是接口 ID 的空间范围是 2^64 （ IPv6 地址的前 64 位可以简单的叫做网络 ID,后半截可以叫做接口 ID ）,空间太大无法使用和 IPv4 一样的暴力枚举手段。尽管如此，接口 ID 有仍有多种方式被预测，比如早期的在接口 ID 部分嵌入了 mac 地址、IPv4 地址等情况可能使得枚举空间变小。前几年出现了根据已有 IPv6 地址的数学特征，比如熵的特征，生成 IPv6 地址的方法。如果用户的网络流量被捕获，或者访问日志被捕获，都有可能泄漏 IP 地址（ RFC 3041 可以缓解）。

回到题主的问题，截图的日志是攻击者已经执行完了存活探测之后，确定这个 IP 地址是有效的，再进行的深度扫描行为。我个人感觉可能是题主在某些地方泄漏了自己的地址，比如配置了 AAAA 记录解析到了这个地址，也有一定的可能性是攻击者通过 IPv6 hitlist 类似的思路生成了 IPv6 地址，再进行的扫描行为。

另外，如果想稍微深入的了解，可以参考 rfc7707 。

防火墙咋配置的？

我的建议是，关闭 ipv6

@acbot
对，我也是这么想的，如果这个盒子后续还被扫就是某个国产软件有猫腻，但是排查出来有点麻烦

@huangya
是拒绝的，我只是把日志打了出来，他扫不到任何结果

@datou drop 掉所有未知的 forward ，我只是在命中规则时打了日志

@kaedeair 应该是盒子上某个国产 app 有猫腻

@ppbaozi 可以根据他扫描的端口反向推，就算先看看这个盒子有哪些应用开启了这些端口

Mar 14 22:56:53 debian kernel: [ 1863.997360] [UFW BLOCK] IN=eth1 OUT= MAC=x:x:x:x:x:x:c0:9f:e1:05:2a:43:86:dd SRC=2402:4e00:1800:f800:0000:956c:74fb:0d34 DST=x:x:x:x:x:x:x:x LEN=60 TC=13 HOPLIMIT=54 FLOWLBL=226976 PROTO=TCP SPT=50188 DPT=2376 WINDOW=64240 RES=0x00 SYN URGP=0


一样，也是腾讯云，应该是 BT 暴露的，无所谓，云服务机每天都在不停被扫，配置好防火墙就 OK 了