发现 v6 被扫

刚对比了下发现还是同一个 IP 。

肯定是设备上有软件自己在往外面告知自己的 IP

@ppbaozi 应该是某个 app 暴露暴露了 IPv6

@Daeyn 我们 src 都一样，我这不是 bt ，盒子上没 bt

@acbot v6 的地址感觉上都是内鬼暴露 不安全的 ddns 等等

@totoro625 感觉少聊这个 容易被做文章

软路由上有 ipv6 ，主要给 qbittorrent 用的，iptables 限制 ipv6 只开放 bt 端口，不然软路由上的意思全暴露给 ipv6 了

问题不大，我每天晚上睡觉都关掉光猫，第二天起来又是一个崭新的天地

@lieyan 我的建议是，切断光纤

某些人一直不是宣扬，ipv6 很安全，因为地址范围大，扫描成本很高。只要不泄露自己的域名或者 ip 就没事。

我反问，那你敢把你家里的群晖开 ipv6 然后密码是 123456 吗。（ v4 nat 不映射 22 ）

不过有些人的确就这样做。开 v6 第一时间 forward accept 。😅

黑森林法则，你不联网，别人就不知道你的 ip 。

举个例子，某个手机 apk 通过邻居发现收集 v6 地址，渗透简单的不得了。
然后沙雕言论就来了，谁没事入侵我家的群晖。

😅 v6 绝对是入侵蓝海。最简单就是拿下 pt 站点。分分钟搞到一大批下载机的 v6 地址。然后再直接 ssh 过去，弱口令扫就是了。绝对有收获。太多例子了。

之前在群里劝人开 forward 还被冷嘲热讽。

反正我再劝人开 v6 防火墙的我就是狗，不开关我屌事。v6 地址范围很大 很安全就是了。数据没了又和我没关系，我 tm 就是犯贱。

@neroxps IPv6 的超大地址空间防的是外部暴力扫描，相比 IPv4 攻击面确实大幅减少。但这一特性确实无法解决主动暴露回访和内网内鬼泄露。

外网回访的情况很早就出现了。一年多前我有发现 b 站直播用的 xx 云 CDN 会回扫 IPv6 端口，直接触发了卡巴斯基的警报。
至于内网内鬼那威胁的上限就更高了。设想一下，如果在 App 中结合 frp 类的功能，那所有假设内网安全的端口都可能被看光光，都没网关什么事了。（好在暂时还没发现这么缺德的）

BT 作为一个主动汇报 IP 地址的机制，碰上弱口令端口是一个实实在在的风险。由于 v6 路由器防火墙配置门槛比较高，设备本身的安全建设就很重要了。建设完成后最好进行测试，以免碰到 Docker 绕过防火墙这种坑（ /t/915279 ）。另外也可以利用 IPv6 地址空间大的特性给风险应用分配独立的 IPv6 地址（ /t/902568 ）。

个人认为，适应 IPv6 的做法是放通网关防火墙，强化设备安全（零信任持续验证），两者要提要一起提、不可偏废。

IPv6 安全是一定的，但是堡垒通常都是从内部攻破的。黑客不是万能的

@letmefly ipv6 安全性会比 ipv4 更高，至少黑客无法通过遍历的方法来获得存活主机。但因为地址库大就宣扬可以关闭防火墙的这种做法不敢苟同。

关闭防火墙就完全是个人选择了。就像有的人不喜欢装杀毒软件，他们不是不知厉害，他们只是觉得不需要。

用的 openwrt ，感觉它自带的 IPv6 防火墙就够用，防火墙禁止入站数据，需要开放某个服务也可以单独为某个设备的地址单独开放端口 https://www.kungeek.top/%e4%bd%bf%e7%94%a8%e5%8f%8d%e5%90%91%e6%8e%a9%e7%a0%81%e9%85%8d%e7%bd%aeopenwrt%e7%9a%84ipv6%e9%98%b2%e7%81%ab%e5%a2%99/

@Kunmona 那请问爱快主路由拨号，怎么开启 ipv6 防火墙呢？

@HackerTerry 爱快就没有 IPv6 防火墙