V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
weiqk
V2EX  ›  宽带症候群

使用 ipv6 有什么风险?

  •  
  •   weiqk · 2023-06-28 14:53:22 +08:00 · 7469 次点击
    这是一个创建于 500 天前的主题,其中的信息可能已经有所发展或是发生改变。
    据观察 ipv6 好像都是公网地址,基于此和诸位探讨下使用 ipv6 有什么风险?

    众所周知 http/https 协议管控比较严格,有些开发者为了省事直接在[::]上跑 http ,这样开了 v6 后会不会被断网,我记得之前是有人因 pcdn 被断网

    内部众多端口暴露在公网上会不会有安全风险?该注意些什么?

    对于隐私保护是不是更糟糕?之前我直连电信光猫上网,在电信 app 居然能看到我使用几台设备上网,吓得我赶紧接个路由器
    第 1 条附言  ·  2023-06-29 10:01:08 +08:00
    在电信 app 上看到我机器时用的是 ipv4 ,光猫上能看到我信息很正常,但 app 上能看到说明电信在收集我个人信息,这让我感觉到很害怕
    第 2 条附言  ·  2023-06-29 15:29:29 +08:00
    很多人好像对隐私和安全都无感
    给运营商交钱是让我联网,我没有让他们管理我的网络,况且他们 app 还没有管理能力,v4 时代还好,只有运营商知道,v6 时代会不会全网都知道

    至于安全问题,对咱们来说可能是小事,一个 nat 解决大部分问题,对于普通用户来说家里的一个小设备可能会导致整个家庭网络变肉鸡,别指望挣快钱小厂商和毫无安全意识的用户能把安全做多好

    最让人不安的是政策风险,只听说不能开服务,是部分服务不能开还是全部服务不能开?要是全部服务不能开开这个 v6 毫无意义,也没有个公开的规则来讲明白
    62 条回复    2023-07-12 00:13:14 +08:00
    renfei
        1
    renfei  
       2023-06-28 15:02:07 +08:00
    ipv6 是直连,直通的,如果没有防火墙,可以说直接在公网上裸奔

    至于 http/https ,80 和 443 端口家用宽带是不通的
    tril
        2
    tril  
       2023-06-28 15:02:07 +08:00
    1 和 2:不会。正常的路由器(比如 openwrt )默认会禁用 IPv6 入站,包括设备自己也有防火墙,只要不手贱去关掉,默认都不会允许外部访问本机开的服务,甚至局域网内的设备都无法访问其他设备开的端口。

    3 、相比 IPv4 也许是糟糕了一点,但你举的例子和 IPv6 没有关系。没接自己的路由器的情况下,光猫就是你家局域网的 DHCP 服务器和路由器,电信 app 就相当于远程管理光猫的软件,当然能看到下面有多少台设备。你用手机打开你自己的路由器后台,不也能看到路由器下面有几台设备?
    ppbaozi
        3
    ppbaozi  
       2023-06-28 15:33:22 +08:00
    adsl 时代几乎所有家宽都是公网 ip 直接到电脑,也没遇到过啥事。
    MeteorVIP
        4
    MeteorVIP  
       2023-06-28 15:51:21 +08:00
    http://[2409:8a5c:2e02:a844:3500:60da:c345:95c]
    我个人觉得没有风险,大佬可以尝试攻破我的路由器,毕竟我除了路由器没有别的服务器.攻破了 at 我.
    对了,我们村 ipv6 可以用 80 端口.大佬们试试能不能访问?我用流量可以访问.
    SenLief
        5
    SenLief  
       2023-06-28 15:52:48 +08:00
    不用常用端口问题不大吧
    renfei
        6
    renfei  
       2023-06-28 16:15:39 +08:00   ❤️ 5
    @MeteorVIP #4
    这位来自广西桂林叠彩区中国移动 的网友对外提供这些服务
    53/tcp domain Cloudflare public DNS
    80/tcp http nginx 1.25.0
    443/tcp ssl/http nginx 1.25.0

    举报一下,你的宽带就得停了,openwrt 的登录爆破需要时间
    JeffGe
        7
    JeffGe  
       2023-06-28 16:22:17 +08:00 via Android
    你不能把 IPv4 的 NAT 当做防火墙啊,普通用户用默认配置别乱改,专业用户自己配置好防火墙
    kuaner
        8
    kuaner  
       2023-06-28 16:23:43 +08:00
    @MeteorVIP 我之前的 v6 也是 80 ,443 开放的,然后就 g 了,偷偷用吧,别声张
    totoro625
        9
    totoro625  
       2023-06-28 16:27:54 +08:00 via Android   ❤️ 1
    对于知道 ipv6 的人,风险比较大,因为他们会主动关闭防火墙,更容易被攻击

    对于不知道 ipv6 的人,没任何大于 ipv4 的风险
    weiqk
        10
    weiqk  
    OP
       2023-06-28 16:32:43 +08:00
    @ppbaozi
    >> adsl 时代几乎所有家宽都是公网 ip 直接到电脑,也没遇到过啥事。
    那个时代的人单纯
    szzys
        11
    szzys  
       2023-06-28 16:34:49 +08:00
    @weiqk 用 ipv6 等于没有 nat 了。你可以理解为你所有的终端获取的都是公网 IP ,外面直接可以通过这个 ipv6 地址访问到你终端设备。当然你可以在你的网关上做安全策略或者 ACL ,防止未经授权的访问。
    adoal
        12
    adoal  
       2023-06-28 16:37:02 +08:00
    我的路由器默认是对 IPv6 (包括用 PD 送进 LAN 里的网段)启用防火墙规则的,需要对外放开啥端口要自己配置。当然,IPv4 也是默认启用,就像#7 说的,防火墙和 NAT 是两回事。
    hefish
        13
    hefish  
       2023-06-28 16:38:15 +08:00
    地址本身没有风险吧,风险在于打开的端口和运行的服务和相关的防火墙及系统的安全策略。
    Yugr
        14
    Yugr  
       2023-06-28 16:46:00 +08:00
    @MeteorVIP #4 打开了是 openwrt 的登录页面。 我在家里弄了个 nas ,也是用的 ipv6 。挺方便,不用像 ipv4 一样头疼公网 ip
    weiqk
        15
    weiqk  
    OP
       2023-06-28 16:56:18 +08:00
    https://www.v2ex.com/t/474318
    https://www.v2ex.com/t/608821
    类似的贴子还有许多,规则风险高于技术风险
    z836454898
        16
    z836454898  
       2023-06-28 17:00:02 +08:00
    你新增一个防火墙规则,阻止所有的入站请求,然后优先级设置为最高,就没有端口暴露了
    shwnpol
        17
    shwnpol  
       2023-06-28 17:38:44 +08:00
    v6 以后个人家宽可能也就只能拿来做 nas 的 webui 了
    MeteorVIP
        18
    MeteorVIP  
       2023-06-28 18:02:21 +08:00 via iPhone
    @renfei #6 哇,你是扫了这个 IP 开放的端口吗?应该还有别的开放端口。
    renfei
        19
    renfei  
       2023-06-28 18:18:34 +08:00
    @MeteorVIP 你再阴阳怪气的,我去 广西通信管理局 参你一本啊 🐶
    MeteorVIP
        20
    MeteorVIP  
       2023-06-28 19:08:56 +08:00 via iPhone
    @renfei #19 别别,除了 80 ,没想到 443 和 53 也能访问。我都不知道。所以 ipv6 对普通人来说是危险的
    MeteorVIP
        21
    MeteorVIP  
       2023-06-28 20:02:31 +08:00
    路由器感受到了来至"北京市 海淀区 联通"用户的关爱,负载从 0 飙升到 1.2
    erfesq
        22
    erfesq  
       2023-06-28 20:18:50 +08:00
    用 openvpn 或者 wireguard 回去就好,我跑了一些服务没啥事
    abc8678
        23
    abc8678  
       2023-06-28 20:34:23 +08:00 via Android
    电信光猫,超级管理账号密码进去,大概找了一下,没找到入站之类的选项。只好用软路由拨号
    ericww
        24
    ericww  
       2023-06-28 20:55:31 +08:00 via iPhone
    windows 有防火墙,linux 有防火墙,macos 有防火墙,freebsd 有防火墙,所以直连又如何?
    weiqk
        25
    weiqk  
    OP
       2023-06-28 22:59:15 +08:00
    @MeteorVIP
    >> 路由器感受到了来至"北京市 海淀区 联通"用户的关爱,负载从 0 飙升到 1.2
    所以 ipv6 对普通人来说是危险的
    MeteorVIP
        26
    MeteorVIP  
       2023-06-28 23:18:39 +08:00 via iPhone
    还有“上海市 崇明区 联通”网友的关爱 ai🥳
    yyzh
        27
    yyzh  
       2023-06-28 23:28:31 +08:00 via Android
    支持楼上反渗透一波
    weiqk
        28
    weiqk  
    OP
       2023-06-28 23:48:34 +08:00
    突然想到有些软件厂商检测到 http 探测会友情提醒不是 http ,这又是坑
    dode
        29
    dode  
       2023-06-29 02:09:29 +08:00 via Android
    不会的操作系统的 ipv6 地址不是一个点,而是一个段,操作系统默认会用一个临时 IP 点来访问外部服务,这个 IP 不能反向直接访问你局域网开机的服务,同时还有一个临时公网 IP 点可以对外提供公网直接访问服务,
    dode
        30
    dode  
       2023-06-29 02:16:33 +08:00 via Android
    @renfei 没有备案怎么可以开启出来 80 服务,Web 服务可以用域名判断隐藏,怎么点的 9 没有备案
    dcsuibian
        31
    dcsuibian  
       2023-06-29 02:26:07 +08:00
    你连电信光猫上网,那你的电信光猫不就是充当家用路由器的角色了么,当然能看到你有几台设备上网,跟 ipv6 有啥关系?
    turan12
        32
    turan12  
       2023-06-29 07:33:58 +08:00 via iPhone
    @ppbaozi 还记得熊猫烧香不
    niubiman
        33
    niubiman  
       2023-06-29 08:26:06 +08:00
    最大风险是 ipv6 时能用时不能用
    Jirajine
        34
    Jirajine  
       2023-06-29 08:55:38 +08:00
    @dode 怎么不能,只要你监听了::,那就能被反向访问。
    以 ipv6 地址的复杂性再加上动态前缀,指定地址监听是很麻烦的事。
    mmm159357456
        35
    mmm159357456  
       2023-06-29 09:05:51 +08:00
    风险当然是绕美、绕欧啦
    8355
        36
    8355  
       2023-06-29 10:10:35 +08:00
    在电信 app 上看到我机器时用的是 ipv4 ,光猫上能看到我信息很正常,但 app 上能看到说明电信在收集我个人信息,这让我感觉到很害怕??????

    你用的宽带账号他们不就是联网的嘛 你怕啥。。。。。
    yzc27
        37
    yzc27  
       2023-06-29 10:11:48 +08:00 via iPhone
    @tril 用的 linksys 路由,看到里面有 IPv6 SPI firewall protection 打开着。想问下大佬,这是不是意味着路由器上已经打开着对于 ipv6 的防火墙了?
    tril
        38
    tril  
       2023-06-29 10:37:25 +08:00
    @yzc27 没用过 Linksys 的设备,不过从官方的支持文档来看,是的,这就是 Linksys 设备的防火墙。
    tril
        39
    tril  
       2023-06-29 10:42:30 +08:00
    楼主这么害怕的话那就让你多害怕一点,很多家用路由器和网管交换机都可以在 app 上管理以及查看设备连接情况,和电信的 APP 一样的道理。运营商的 APP 里甚至可以自助查询你在几点到几点使用流量访问了哪个网站。以上功能均不需要 IPv6 支持。^_^
    busier
        40
    busier  
       2023-06-29 10:44:06 +08:00
    你都在大陆了 还有什么好矫情的 正常用就是了!
    acbot
        41
    acbot  
       2023-06-29 11:02:24 +08:00
    安全问题,不论是操作系统还是运营商早就考虑过了,在这个层面根本不需要你担心,比如:有风险的端口,协议运营商就给你封了,操作系统都带防火墙基本的安全防护都没有问题,隐私扩展也是打开的等等! 大多数安全问题是除在了用户自身这个层面,比如:无脑直接关闭系统防火墙,无脑开放端口,无脑安装了带木马的程序等!端口开放是否安全完全是你服务本身是否安全,是否有漏洞与端口开放本身没有多大关系。

    至于运营商获取用户内网设备信息这个是基操,与是否 v6 没有关系。
    Frankcox
        42
    Frankcox  
       2023-06-29 11:02:42 +08:00
    有点好奇啊,我记得之前看到说 IPv6 的地址也是会隔一段时间换一下?使用对外服务还需要 DDns ?这块我不是很清楚,不知道有没有大佬解释下。
    dude4
        43
    dude4  
       2023-06-29 14:34:33 +08:00
    @Frankcox 大部分是随 V4 重新拨号一起刷新的,现在 V4 公网 IP 稀少,有些地方如果你享受 V4 公网,V4 地址重拨不会变,但是 V6 还没听说过不变的,毕竟分给你的 /64 段理论上都能分配几兆兆个地址了……
    Frankcox
        44
    Frankcox  
       2023-06-29 17:35:31 +08:00
    @dude4 谢谢,那我这样理解是不是现在即使关了防火墙也没法实现利用 IPv6 获取稳定的公网 IP (不考虑向运营商申请这种情况)?
    dode
        45
    dode  
       2023-06-29 19:02:00 +08:00
    @Frankcox
    关闭系统保护 ipv6 地址功能,就可以直接使用一个相对固定的公网 IPv6 地址,
    netsh int ipv6 set privacy state=disable

    @Jirajine
    这个是操作系统按算法提供的隐私服务,会定期切换 ip 保护隐私,可以关闭
    dode
        46
    dode  
       2023-06-29 19:08:11 +08:00   ❤️ 1
    [禁用临时 IPv6 地址 how to diable Temporary IPv6 Address]
    https://www.51-n.com/t-4593-1-1.html

    https://blog.csdn.net/sinat_20184565/article/details/114292301

    [RFC 4864 《 IPv6 的本地网络保护》]
    https://www.ipv6-cn.com/references/RFCs/RFC4864.html
    一句话总结本 RFC:NAT 不是安全措施! IPv4 + NAT 给你带来的好处,IPv6 环境下不仅能实现,而且效果更好更安全。

    临时 IPv6 地址用于保护用户隐私,通常在启用 IPv6 后,会自动分配两个 IPv6 公网地址,一个临时 IPv6 地址,一个固定 IPv6 地址。IPv6 临时网址有效期较短,一定时间后会自动换成其他临时 IPv6 地址,而 IPv6 固定地址会保持不变,对于不同的运营商,有可能固定 IPv6 地址也会被收回重新分配。当使用 IPv6 连接外网时,暴露给公网的是 IPv6 地址是临时 IPv6 地址。设备不停变更临时 IPv6 地址可以有效防止外网攻击。
    Jirajine
        47
    Jirajine  
       2023-06-29 19:17:50 +08:00
    @dode 你没理解我在说什么。只要你暴露了监听::的服务,又没有专门配置防火墙,别管什么临时还是长期地址都能访问到。

    以及 ipv4+nat 最大的好处是 stable address 和对外不透明(比如你的运营商紧禁止热点)。共享地址本身也有一定的隐私保护作用。
    dode
        48
    dode  
       2023-06-29 20:05:37 +08:00
    cnbatch
        49
    cnbatch  
       2023-06-29 23:01:03 +08:00   ❤️ 2
    在 IPv4 网络不要以为只有运营商能知道地址,一样可以全网都知道,哪怕没有公网 IP 。

    如果关注过 V 站的这个节点的话,就该知道 PCDN 玩家一点都不少,他们照样可以在没有公网 IPv4 的情况下玩出花,通过 NAT1 打洞让用户连过来。

    还有某些视频网站及其 App ,在检测到用户正在使用家宽时,直接把用户设备临时变成 PCDN:
    /t/745365
    /t/774680
    有 NAT 都没用,厂商们偷偷地就把用户 IP 泄露出去了。要是厂商们愿意,还真能做到“全网都知道你的 IPv4 地址”。
    于是在“全网都知道你的 IP 地址”这方面,IPv4 和 IPv6 扯平了。

    在 IPv6 的情况下,各种设备的防火墙默认阻挡来自外部的主动入站连接,至少可以做到 NAT1 的效果(只有出过站的端口才全盘放行),严格的话可以做成 NAT3 的效果(只有自己连接过的机器才可以跟自己通信)。

    为了保险起见,运营商们甚至早就在光猫那里开启了 IPv6 防火墙,不管你设备防火墙怎么设置,都一律阻止主动入站。
    V 站就有现成案例:
    /t/701004
    /t/808068
    /t/825486
    既然那么多 V 站用户都注意到这种情况,那么应该是大多数光猫都已经这样配置了。
    这么一操作,也就只有非小白的群体才会主动关掉 IPv6 防火墙。

    至于政策风险什么的,无论 IPv4 还是 IPv6 都是一视同仁,实际上没区别。
    ppbaozi
        50
    ppbaozi  
       2023-06-30 00:13:04 +08:00
    @turan12 一个原版 xp+默认防火墙暴露在公网能中这毒吗?不能
    TerryRobles
        51
    TerryRobles  
       2023-06-30 09:56:45 +08:00
    我觉得风险比 ipv4 小
    ipv6 有 临时 IPv6 地址
    和你本机不一致
    TerryRobles
        52
    TerryRobles  
       2023-06-30 10:00:43 +08:00
    @dode 我老家的 ipv6 就开放的,之前开起来扫过一次。
    garibellee
        53
    garibellee  
       2023-06-30 10:26:50 +08:00
    @kuaner 加 1 我这里之前就是能用的快半年 低调点
    dude4
        54
    dude4  
       2023-06-30 10:56:56 +08:00
    @Frankcox 想啥呢,固定 IP 都是商宽标配,V4 家宽固定 IP 是地址不够而已,大部分地区就算有公网 V4 ,地址其实还是变动的,只是 IP 段就那几个而已
    你需要的是 DDNS 解析。
    gearfox
        55
    gearfox  
       2023-06-30 16:35:15 +08:00
    @ppbaozi 当年都公网,可刷 q 币
    spediacn
        56
    spediacn  
       2023-06-30 20:31:32 +08:00 via iPhone
    v6 恐怖的其实是机顶盒电视机智能音箱啥的,没有任何防护措施的。
    spediacn
        57
    spediacn  
       2023-06-30 20:32:18 +08:00 via iPhone
    反而电脑要好点,默认开了个防火墙,入站协议默认都关了
    xixiv5
        58
    xixiv5  
       2023-06-30 21:46:16 +08:00
    @gearfox 扫 IP 刷钻
    lin559671
        59
    lin559671  
       2023-07-02 00:30:51 +08:00 via Android
    我来晚了,扫不到了
    yzc27
        60
    yzc27  
       2023-07-08 15:06:15 +08:00 via iPhone
    @tril 大佬,再想问下,假如路由器开了 ipv6 防火墙,那么是不是意味着这个路由器下面的设备都处于被它保护的状态?刚刚刷到 V2EX 之前有人说路由器有 ipv6 防火墙也只是保护路由器自身,它下面的设备还是“裸奔”。
    tril
        61
    tril  
       2023-07-12 00:07:16 +08:00
    @yzc27 得看具体的防火墙规则,禁止转发和禁止本机入站是不同的规则,以 iptables 为例,一个在 forward 链一个在 input 链。路由器一般会默认禁止主动入站访问,也就是保护了局域网里的所有设备。
    tril
        62
    tril  
       2023-07-12 00:13:14 +08:00
    @tril 补丁:路由器一般会默认禁止*所有*主动入站访问。包括转发和本机入站。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2631 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 03:48 · PVG 11:48 · LAX 19:48 · JFK 22:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.