V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bobryjosin
V2EX  ›  宽带症候群

遇到了 ipv6 扫段

  •  
  •   bobryjosin · 254 天前 · 2130 次点击
    这是一个创建于 254 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前在 he 申请了 6to4 隧道,用来访问 chatgpt ,不过已经很久没用了一直就是闲置状态,也忘记把隧道停掉,今天打开 routeros 的 interface 发现 he 隧道的 Rx/Tx 一直有数据,检查 ipv6 防火墙的 connections 有个电信的 ipv6 一直在扫。

    只给 routeros 的 6to4 接口分配了地址,winbox 和 ssh 也限制了 ip 段,也没有给局域网任何设备分配地址,所以没出什么事情,也算给大伙提个醒,记得做好 ipv6 防火墙配置,不过这么扫也很难撞上,如果直接用 he 的配置文件路由器倒是会直接暴露。

    后面我直接删了这个接口,这个地址是个机房 ip 而且 ssh 端口是开的[240e:f7:4f01:c::2],如果各位大佬有空可以看看。
    4 条回复    2024-03-19 20:47:13 +08:00
    ac169
        1
    ac169  
       254 天前
    如果你是浙江电信用户,那么应该电信在扫描你是否有违规业务!

    个人觉得(分析): 隧道本身就是透明协议运营商很容易知道是内网曾经使用过的地址, 所以个人觉得这些都是曾经内网使用过的地址和端口然后用这些信息反向扫描不存在扫段的说法!
    bobryjosin
        2
    bobryjosin  
    OP
       254 天前
    @ac169 我是南京电信,而且隧道并不是公网裸跑,外面套了一层 ipip tunnel with ipsec 出口是新加坡的 chr ,应该不是被运营商嗅探到了,换了一个段他还是在扫原来的段,不过因为接口地址换了,路由器不会响应发过来的包,观察下来他只会尝试 80,443,8080,8443,2222,22,3389 这几个端口,不像是运营商行为。
    ac169
        3
    ac169  
       253 天前   ❤️ 1
    @bobryjosin

    1. 240e:f7:4f01:c:: 这个段就很特殊 (骨干 省干 城域 IDC 家宽 政企等分类)
    2. 80,443,8080,8443,2222,22,3389 这些端口本身在监管范围, 如果是黑扫的话应该还有 3306 1433 等这些端口.
    3. 被扫地址后缀都是随机的, 如果是扫段的话不知道这个是什么高级算法
    4. ipsec 这个我不是很了解, 我记得有两种加密模式, 其中一种只是加密发送的数据,隧道本身不加密.

    主要是 1 和 2 这两个原因, 目前个人还是觉得属于运营商, 某些监管或安全公司的行为可能性居多, 具体的只能你自己观察了!
    Ipsum
        4
    Ipsum  
       250 天前
    v6 还能扫?我觉得是电信机房在扫。也只有他们知道哪些 ip 是有效的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   924 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 22:12 · PVG 06:12 · LAX 14:12 · JFK 17:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.