V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ppbaozi
V2EX  ›  宽带症候群

发现 v6 被扫

  •  
  •   ppbaozi · 2023-03-17 03:07:00 +08:00 · 6950 次点击
    这是一个创建于 619 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目标是家里一台小米盒子国际版
    来自腾讯云
    第 1 条附言  ·  2023-03-17 15:59:16 +08:00

    这个2402:4e00:1800:f800:0000:956c:74fb:0d34是惯犯,楼里也有同样来源的扫描。

    从8号到16号有3次扫描记录,前两次不确定是不是小米盒子,IP已经改变。

    很大的可能性是盒子上某些国产APP泄露的。

    自己扫了一下,开放了不少端口,有很多http服务,包括一个沙发管家一个当贝市场的apk上传入口,原来软件没打开它们也在后台开放着服务。

    Starting Nmap 7.80 ( https://nmap.org ) at 2023-03-17 15:49 CST
    Nmap scan report for 192.168.11.107
    Host is up (0.0049s latency).
    Not shown: 65511 closed ports
    PORT      STATE SERVICE
    3530/tcp  open  gf
    5001/tcp  open  commplex-link
    6091/tcp  open  unknown
    6466/tcp  open  unknown
    6467/tcp  open  unknown
    7100/tcp  open  font-service
    7300/tcp  open  swx
    8008/tcp  open  http
    8009/tcp  open  ajp13
    8443/tcp  open  https-alt
    8899/tcp  open  ospf-lite
    9000/tcp  open  cslistener
    10000/tcp open  snet-sensor-mgmt
    10101/tcp open  ezmeeting-2
    18123/tcp open  unknown
    34613/tcp open  unknown
    37989/tcp open  unknown
    44911/tcp open  unknown
    45851/tcp open  unknown
    46135/tcp open  unknown
    49152/tcp open  unknown
    52266/tcp open  unknown
    52288/tcp open  unknown
    55603/tcp open  unknown
    MAC Address: E4:DB:6D:AC:00:EB (Beijing Xiaomi Electronics)
    

    如果是app泄露的,只要它想,完全可以把内网所有存活的地址泄露出去,所以ipv6防火墙是很有必要的。之前看到有人说ipv6不需要防火墙的,心真大。

    39 条回复    2023-03-19 02:51:49 +08:00
    garywill
        1
    garywill  
       2023-03-17 08:29:47 +08:00
    IPv6 普及会不会使一些原本以 IPv4 NAT 隔离作为安全保障的内网变得不安全? https://www.zhihu.com/question/555925827
    ragnaroks
        2
    ragnaroks  
       2023-03-17 08:37:45 +08:00
    这能惯着他?找个福州的机器送他 50G 玩玩
    maybeonly
        3
    maybeonly  
       2023-03-17 08:39:09 +08:00
    理论上来讲,nat 本身不提供安全性。
    虽然 snat 确实一定程度上充当了防火墙。
    不过说实话,感觉现代系统默认都有防火墙。自己开口子是另一回事。

    这其实还是扫端口,某种方式拿到你的 ip 之后扫端口; v6 不会被扫描指的是不会被扫段(例如从 192.0.2.0 扫到 192.0.2.255 看有哪些主机活着)
    比较在意的是 80 和 443 居然开着。
    totoro625
        4
    totoro625  
       2023-03-17 08:48:06 +08:00
    @maybeonly #3 只有部分省份封了 IPv6 的 80/443 ,坐标江苏移动,没封
    abelyao
        5
    abelyao  
       2023-03-17 09:19:43 +08:00
    我江苏电信的,光猫上有个防火墙设置为 低 之后,家里所有设备都可以 ipv6 从外网访问
    s1e42NxZVE484pwH
        6
    s1e42NxZVE484pwH  
       2023-03-17 09:32:57 +08:00 via iPhone
    @ragnaroks 怎么操作?
    家里的 nas 有时候需要开 22 端口远程调试,也会发现有些 ip 会暴力登录
    opengps
        7
    opengps  
       2023-03-17 09:34:34 +08:00
    v6 在正式普及用起来之前,确实反而算是一片攻击者的蓝海
    acbot
        8
    acbot  
       2023-03-17 10:03:13 +08:00
    换个地址再看看如果还有,十有八九是你盒子上有“内鬼”。v6 下就算是 /64 的子网能用的地址大致都在千亿这个量级,个人觉得不会有人还像 v4 那样漫无目的的扫!
    huangya
        9
    huangya  
       2023-03-17 10:03:37 +08:00
    奇怪,路由器的防火墙不管是 IPv4 还是 IPv6 都会默认拒绝从 Internet 过来的包吗?难道有些路由器厂商不是这样做的吗?
    kaedeair
        10
    kaedeair  
       2023-03-17 10:05:40 +08:00
    这个是 ipv6 地址通过每种方式暴露了吧,正常没暴露很难找到能通的 ipv6 地址
    bt 会暴露 ip
    kaedeair
        11
    kaedeair  
       2023-03-17 10:06:26 +08:00
    @kaedeair 10# "每种"->"某种"
    Les1ie
        12
    Les1ie  
       2023-03-17 10:11:02 +08:00
    扫描 IPv6 网络空间的一个难点是接口 ID 的空间范围是 2^64 ( IPv6 地址的前 64 位可以简单的叫做网络 ID,后半截可以叫做接口 ID ),空间太大无法使用和 IPv4 一样的暴力枚举手段。尽管如此,接口 ID 有仍有多种方式被预测,比如早期的在接口 ID 部分嵌入了 mac 地址、IPv4 地址等情况可能使得枚举空间变小。前几年出现了根据已有 IPv6 地址的数学特征,比如熵的特征,生成 IPv6 地址的方法。如果用户的网络流量被捕获,或者访问日志被捕获,都有可能泄漏 IP 地址( RFC 3041 可以缓解)。

    回到题主的问题,截图的日志是攻击者已经执行完了存活探测之后,确定这个 IP 地址是有效的,再进行的深度扫描行为。我个人感觉可能是题主在某些地方泄漏了自己的地址,比如配置了 AAAA 记录解析到了这个地址,也有一定的可能性是攻击者通过 IPv6 hitlist 类似的思路生成了 IPv6 地址,再进行的扫描行为。

    另外,如果想稍微深入的了解,可以参考 rfc7707 。
    datou
        13
    datou  
       2023-03-17 10:33:12 +08:00
    防火墙咋配置的?
    lieyan
        14
    lieyan  
       2023-03-17 10:40:33 +08:00
    我的建议是,关闭 ipv6
    ppbaozi
        15
    ppbaozi  
    OP
       2023-03-17 10:56:34 +08:00
    @acbot
    对,我也是这么想的,如果这个盒子后续还被扫就是某个国产软件有猫腻,但是排查出来有点麻烦
    ppbaozi
        16
    ppbaozi  
    OP
       2023-03-17 10:57:25 +08:00
    @huangya
    是拒绝的,我只是把日志打了出来,他扫不到任何结果
    ppbaozi
        17
    ppbaozi  
    OP
       2023-03-17 10:58:57 +08:00
    @datou drop 掉所有未知的 forward ,我只是在命中规则时打了日志
    ppbaozi
        18
    ppbaozi  
    OP
       2023-03-17 11:01:45 +08:00
    @kaedeair 应该是盒子上某个国产 app 有猫腻
    acbot
        19
    acbot  
       2023-03-17 11:16:59 +08:00
    @ppbaozi 可以根据他扫描的端口反向推,就算先看看这个盒子有哪些应用开启了这些端口
    Daeyn
        20
    Daeyn  
       2023-03-17 11:30:17 +08:00 via iPhone
    Mar 14 22:56:53 debian kernel: [ 1863.997360] [UFW BLOCK] IN=eth1 OUT= MAC=x:x:x:x:x:x:c0:9f:e1:05:2a:43:86:dd SRC=2402:4e00:1800:f800:0000:956c:74fb:0d34 DST=x:x:x:x:x:x:x:x LEN=60 TC=13 HOPLIMIT=54 FLOWLBL=226976 PROTO=TCP SPT=50188 DPT=2376 WINDOW=64240 RES=0x00 SYN URGP=0


    一样,也是腾讯云,应该是 BT 暴露的,无所谓,云服务机每天都在不停被扫,配置好防火墙就 OK 了
    Daeyn
        21
    Daeyn  
       2023-03-17 11:32:10 +08:00 via iPhone
    刚对比了下发现还是同一个 IP 。
    systemcall
        22
    systemcall  
       2023-03-17 11:46:17 +08:00
    肯定是设备上有软件自己在往外面告知自己的 IP
    datou
        23
    datou  
       2023-03-17 12:08:43 +08:00
    @ppbaozi 应该是某个 app 暴露暴露了 IPv6
    ppbaozi
        24
    ppbaozi  
    OP
       2023-03-17 12:19:05 +08:00
    @Daeyn 我们 src 都一样,我这不是 bt ,盒子上没 bt
    garibellee
        25
    garibellee  
       2023-03-17 15:22:27 +08:00
    @acbot v6 的地址感觉上都是内鬼暴露 不安全的 ddns 等等
    garibellee
        26
    garibellee  
       2023-03-17 15:32:14 +08:00
    @totoro625 感觉少聊这个 容易被做文章
    YGBlvcAK
        27
    YGBlvcAK  
       2023-03-17 16:35:51 +08:00 via Android
    软路由上有 ipv6 ,主要给 qbittorrent 用的,iptables 限制 ipv6 只开放 bt 端口,不然软路由上的意思全暴露给 ipv6 了
    wr410
        28
    wr410  
       2023-03-17 17:25:26 +08:00
    问题不大,我每天晚上睡觉都关掉光猫,第二天起来又是一个崭新的天地
    gqfBzoLVY3Wl4Tng
        29
    gqfBzoLVY3Wl4Tng  
       2023-03-17 22:08:55 +08:00
    @lieyan 我的建议是,切断光纤
    neroxps
        30
    neroxps  
       2023-03-17 22:31:02 +08:00 via iPhone
    某些人一直不是宣扬,ipv6 很安全,因为地址范围大,扫描成本很高。只要不泄露自己的域名或者 ip 就没事。

    我反问,那你敢把你家里的群晖开 ipv6 然后密码是 123456 吗。( v4 nat 不映射 22 )

    不过有些人的确就这样做。开 v6 第一时间 forward accept 。😅

    黑森林法则,你不联网,别人就不知道你的 ip 。
    neroxps
        31
    neroxps  
       2023-03-17 22:36:16 +08:00 via iPhone
    举个例子,某个手机 apk 通过邻居发现收集 v6 地址,渗透简单的不得了。
    然后沙雕言论就来了,谁没事入侵我家的群晖。

    😅 v6 绝对是入侵蓝海。最简单就是拿下 pt 站点。分分钟搞到一大批下载机的 v6 地址。然后再直接 ssh 过去,弱口令扫就是了。绝对有收获。太多例子了。
    neroxps
        32
    neroxps  
       2023-03-17 22:42:16 +08:00 via iPhone
    之前在群里劝人开 forward 还被冷嘲热讽。

    反正我再劝人开 v6 防火墙的我就是狗,不开关我屌事。v6 地址范围很大 很安全就是了。数据没了又和我没关系,我 tm 就是犯贱。
    LnTrx
        33
    LnTrx  
       2023-03-18 01:25:53 +08:00   ❤️ 2
    @neroxps IPv6 的超大地址空间防的是外部暴力扫描,相比 IPv4 攻击面确实大幅减少。但这一特性确实无法解决主动暴露回访和内网内鬼泄露。

    外网回访的情况很早就出现了。一年多前我有发现 b 站直播用的 xx 云 CDN 会回扫 IPv6 端口,直接触发了卡巴斯基的警报。
    至于内网内鬼那威胁的上限就更高了。设想一下,如果在 App 中结合 frp 类的功能,那所有假设内网安全的端口都可能被看光光,都没网关什么事了。(好在暂时还没发现这么缺德的)

    BT 作为一个主动汇报 IP 地址的机制,碰上弱口令端口是一个实实在在的风险。由于 v6 路由器防火墙配置门槛比较高,设备本身的安全建设就很重要了。建设完成后最好进行测试,以免碰到 Docker 绕过防火墙这种坑( /t/915279 )。另外也可以利用 IPv6 地址空间大的特性给风险应用分配独立的 IPv6 地址( /t/902568 )。

    个人认为,适应 IPv6 的做法是放通网关防火墙,强化设备安全(零信任持续验证),两者要提要一起提、不可偏废。
    letmefly
        34
    letmefly  
       2023-03-18 09:07:05 +08:00
    IPv6 安全是一定的,但是堡垒通常都是从内部攻破的。黑客不是万能的
    neroxps
        35
    neroxps  
       2023-03-18 10:40:11 +08:00 via iPhone
    @letmefly ipv6 安全性会比 ipv4 更高,至少黑客无法通过遍历的方法来获得存活主机。但因为地址库大就宣扬可以关闭防火墙的这种做法不敢苟同。
    letmefly
        36
    letmefly  
       2023-03-18 12:08:39 +08:00
    关闭防火墙就完全是个人选择了。就像有的人不喜欢装杀毒软件,他们不是不知厉害,他们只是觉得不需要。
    Kunmona
        37
    Kunmona  
       2023-03-18 15:52:01 +08:00 via Android
    用的 openwrt ,感觉它自带的 IPv6 防火墙就够用,防火墙禁止入站数据,需要开放某个服务也可以单独为某个设备的地址单独开放端口 https://www.kungeek.top/%e4%bd%bf%e7%94%a8%e5%8f%8d%e5%90%91%e6%8e%a9%e7%a0%81%e9%85%8d%e7%bd%aeopenwrt%e7%9a%84ipv6%e9%98%b2%e7%81%ab%e5%a2%99/
    HackerTerry
        38
    HackerTerry  
       2023-03-18 22:15:28 +08:00
    @Kunmona 那请问爱快主路由拨号,怎么开启 ipv6 防火墙呢?
    Kunmona
        39
    Kunmona  
       2023-03-19 02:51:49 +08:00 via Android
    @HackerTerry 爱快就没有 IPv6 防火墙
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4992 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 01:20 · PVG 09:20 · LAX 17:20 · JFK 20:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.