IPv6 - VerständnisProblem

Hallo,
ich habe einmal eine Verständnisfrage zu IPv6. In diesem Bereich fehlt mir definitiv noch einiges an Fachwissen, weshalb ich jemanden benötige, der mir einen Ausschnitt aus einer Logdatei einmal erläutern kann.

Es handelt sich dabei um folgenden Eintrag aus einer Firewall von einem Windows Client:

Ereignis: Datenverkehr
IP-Adresse/Benutzer: FE80:0000:0000:0000:3C5E:9076:F06C:B0F4
Nachricht: Blockiert Eingehend ICMPv6 Unbekannt - Quelle FE80:0000:0000:0000:3C5E:9076:F06C:B0F4 Ziel FF02:0000:0000:0000:0000:0001:FF46:1797
Übereinstimmung mit Regel: Sämtlichen Verkehr blockieren

Ereignis: Datenverkehr
IP-Adresse/Benutzer: FE80:0000:0000:0000:C940:C0D7:6108:E393
Nachricht: Blockiert Eingehend ICMPv6 Unbekannt - Quelle FE80:0000:0000:0000:C940:C0D7:6108:E393 Ziel FF02:0000:0000:0000:0000:0001:FF01:0D01
Übereinstimmung mit Regel: Sämtlichen Verkehr blockieren

Meine Fragen hierzu:
1) Um was für eine Ziel-IP handelt es sich hier genau? Ich habe gelesen, dass "FF02::1" Multicast Adressen sind. Allerdings verstehe ich nicht, wofür der letzte Bereich dient ":FF46:1797" bzw. "FF01:0D01" dient.

2) Wer oder was sendet bei mir im Netzwerk diese ICMP Pakete? Wie kann ich den entsprechenden Client herausfinden?

Please also mark the comments that contributed to the solution of the article

Content-Key: 321304

Url: https://administrator.de/contentid/321304

Printed on: April 16, 2024 at 17:04 o'clock

3 Comments

Latest comment

Einfach mal im RFC nachsehen, da steht doch alles schwarz auf weiss !! Bei Dr. Google in 3 Minuten erledigt...
1.)
Link-Local Scope Multicast Addresses:
http://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast ...
2.)
Das steht doch auch explizit in deinem Trace:
Quelle: FE80:0000:0000:0000:3C5E:9076:F06C:B0F4
RFC 4291 beschreibt wie diese Link Local Unicast Adressen generiert werden:
https://tools.ietf.org/html/rfc4291

Das ist immer ein 10Bit Prefix 0xfe80 gefolgt von 54 zero Bits und dann einer 64-bit Interface ID.
Der Interface Identifier wird gebildet aus der Mac Adresse per EUI-64. Guckst du hier:
http://packetlife.net/blog/2008/aug/4/eui-64-ipv6/

Damit kannst du auf die Mac Adresse und damit das Endgerät schliessen.
Nutzt das Endgerät allerdings Privacy Extensions:
https://tools.ietf.org/html/rfc4941
http://www.heise.de/netze/artikel/IPv6-Privacy-Extensions-einschalten-1 ...
wirds natürlich etwas schwieriger.

Buchtipp für dich damit's bei simplen IPv6 Fragen nicht mehr so klemmt:
https://www.amazon.de/IPv6-Workshop-Zweite-Auflage-Dan-Lüdtke-ebook ...

Zitat von @Jannis92:

Meine Fragen hierzu:
1) Um was für eine Ziel-IP handelt es sich hier genau? Ich habe gelesen, dass "FF02::1" Multicast Adressen sind. Allerdings verstehe ich nicht, wofür der letzte Bereich dient ":FF46:1797" bzw. "FF01:0D01" dient.

https://en.wikipedia.org/wiki/Solicited-node_multicast_address

2) Wer oder was sendet bei mir im Netzwerk diese ICMP Pakete? Wie kann ich den entsprechenden Client herausfinden?

Schau in der MAC-Liste nach, ggf vorher einen ping machen oder einen netzwerkscan.

lks

Nachdem diese Nachrichten aus der selben Broadcast-Domain kommen kannst du auch einfach im NDP-Cache nachsehen, zu welcher MAC-Adresse die Source-Adresse gehört und damit den Client identifizieren.

Multicast ist aber etwas, was bei IPv6 für die unterschiedlichsten Dienste genutzt wird - z.B. NDP oder RA.
Wenn du ungewollte Multicasts im Netzwerk verhindern willst, musst du auf den Switches die Multicast-Gruppen einschränken in die deine Clients joinen können. Das gilt für IPv4 aber ebenfalls

Du musst aber natürlich mindestens NDP erlauben, da du sonst IPv6 im Netzwerk nicht mehr verwenden kannst.

German Question Networking Basics Networks

Hotly discussed

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment