这是一个创建于 607 天前的主题,其中的信息可能已经有所发展或是发生改变。
目标是家里一台小米盒子国际版
来自腾讯云
来自腾讯云
第 1 条附言 · 2023-03-17 15:59:16 +08:00
这个2402:4e00:1800:f800:0000:956c:74fb:0d34是惯犯,楼里也有同样来源的扫描。
从8号到16号有3次扫描记录,前两次不确定是不是小米盒子,IP已经改变。
很大的可能性是盒子上某些国产APP泄露的。
自己扫了一下,开放了不少端口,有很多http服务,包括一个沙发管家一个当贝市场的apk上传入口,原来软件没打开它们也在后台开放着服务。
Starting Nmap 7.80 ( https://nmap.org ) at 2023-03-17 15:49 CST
Nmap scan report for 192.168.11.107
Host is up (0.0049s latency).
Not shown: 65511 closed ports
PORT STATE SERVICE
3530/tcp open gf
5001/tcp open commplex-link
6091/tcp open unknown
6466/tcp open unknown
6467/tcp open unknown
7100/tcp open font-service
7300/tcp open swx
8008/tcp open http
8009/tcp open ajp13
8443/tcp open https-alt
8899/tcp open ospf-lite
9000/tcp open cslistener
10000/tcp open snet-sensor-mgmt
10101/tcp open ezmeeting-2
18123/tcp open unknown
34613/tcp open unknown
37989/tcp open unknown
44911/tcp open unknown
45851/tcp open unknown
46135/tcp open unknown
49152/tcp open unknown
52266/tcp open unknown
52288/tcp open unknown
55603/tcp open unknown
MAC Address: E4:DB:6D:AC:00:EB (Beijing Xiaomi Electronics)
如果是app泄露的,只要它想,完全可以把内网所有存活的地址泄露出去,所以ipv6防火墙是很有必要的。之前看到有人说ipv6不需要防火墙的,心真大。
 |
1
garywill 2023-03-17 08:29:47 +08:00
IPv6 普及会不会使一些原本以 IPv4 NAT 隔离作为安全保障的内网变得不安全? https://www.zhihu.com/question/555925827
|
 |
2
ragnaroks 2023-03-17 08:37:45 +08:00
这能惯着他?找个福州的机器送他 50G 玩玩
|
 |
3
maybeonly 2023-03-17 08:39:09 +08:00
理论上来讲,nat 本身不提供安全性。
虽然 snat 确实一定程度上充当了防火墙。 不过说实话,感觉现代系统默认都有防火墙。自己开口子是另一回事。 这其实还是扫端口,某种方式拿到你的 ip 之后扫端口; v6 不会被扫描指的是不会被扫段(例如从 192.0.2.0 扫到 192.0.2.255 看有哪些主机活着) 比较在意的是 80 和 443 居然开着。 |
 |
5
abelyao 2023-03-17 09:19:43 +08:00
我江苏电信的,光猫上有个防火墙设置为 低 之后,家里所有设备都可以 ipv6 从外网访问
|
 |
6
s1e42NxZVE484pwH 2023-03-17 09:32:57 +08:00 via iPhone
@ragnaroks 怎么操作?
家里的 nas 有时候需要开 22 端口远程调试,也会发现有些 ip 会暴力登录 |
 |
7
opengps 2023-03-17 09:34:34 +08:00
v6 在正式普及用起来之前,确实反而算是一片攻击者的蓝海
|
 |
8
acbot 2023-03-17 10:03:13 +08:00
换个地址再看看如果还有,十有八九是你盒子上有“内鬼”。v6 下就算是 /64 的子网能用的地址大致都在千亿这个量级,个人觉得不会有人还像 v4 那样漫无目的的扫!
|
 |
9
huangya 2023-03-17 10:03:37 +08:00
奇怪,路由器的防火墙不管是 IPv4 还是 IPv6 都会默认拒绝从 Internet 过来的包吗?难道有些路由器厂商不是这样做的吗?
|
 |
10
kaedeair 2023-03-17 10:05:40 +08:00
这个是 ipv6 地址通过每种方式暴露了吧,正常没暴露很难找到能通的 ipv6 地址
bt 会暴露 ip |
 |
12
Les1ie 2023-03-17 10:11:02 +08:00
扫描 IPv6 网络空间的一个难点是接口 ID 的空间范围是 2^64 ( IPv6 地址的前 64 位可以简单的叫做网络 ID,后半截可以叫做接口 ID ),空间太大无法使用和 IPv4 一样的暴力枚举手段。尽管如此,接口 ID 有仍有多种方式被预测,比如早期的在接口 ID 部分嵌入了 mac 地址、IPv4 地址等情况可能使得枚举空间变小。前几年出现了根据已有 IPv6 地址的数学特征,比如熵的特征,生成 IPv6 地址的方法。如果用户的网络流量被捕获,或者访问日志被捕获,都有可能泄漏 IP 地址( RFC 3041 可以缓解)。
回到题主的问题,截图的日志是攻击者已经执行完了存活探测之后,确定这个 IP 地址是有效的,再进行的深度扫描行为。我个人感觉可能是题主在某些地方泄漏了自己的地址,比如配置了 AAAA 记录解析到了这个地址,也有一定的可能性是攻击者通过 IPv6 hitlist 类似的思路生成了 IPv6 地址,再进行的扫描行为。 另外,如果想稍微深入的了解,可以参考 rfc7707 。 |
 |
13
datou 2023-03-17 10:33:12 +08:00
防火墙咋配置的?
|
 |
14
lieyan 2023-03-17 10:40:33 +08:00
我的建议是,关闭 ipv6
|
 |
20
Daeyn 2023-03-17 11:30:17 +08:00 via iPhone
Mar 14 22:56:53 debian kernel: [ 1863.997360] [UFW BLOCK] IN=eth1 OUT= MAC=x:x:x:x:x:x:c0:9f:e1:05:2a:43:86:dd SRC=2402:4e00:1800:f800:0000:956c:74fb:0d34 DST=x:x:x:x:x:x:x:x LEN=60 TC=13 HOPLIMIT=54 FLOWLBL=226976 PROTO=TCP SPT=50188 DPT=2376 WINDOW=64240 RES=0x00 SYN URGP=0
一样,也是腾讯云,应该是 BT 暴露的,无所谓,云服务机每天都在不停被扫,配置好防火墙就 OK 了 |
|
21
Daeyn 2023-03-17 11:32:10 +08:00 via iPhone
刚对比了下发现还是同一个 IP 。
|
 |
22
systemcall 2023-03-17 11:46:17 +08:00
肯定是设备上有软件自己在往外面告知自己的 IP
|
 |
25
garibellee 2023-03-17 15:22:27 +08:00
@acbot v6 的地址感觉上都是内鬼暴露 不安全的 ddns 等等
|
|
26
garibellee 2023-03-17 15:32:14 +08:00
@totoro625 感觉少聊这个 容易被做文章
|
 |
27
YGBlvcAK 2023-03-17 16:35:51 +08:00 via Android
软路由上有 ipv6 ,主要给 qbittorrent 用的,iptables 限制 ipv6 只开放 bt 端口,不然软路由上的意思全暴露给 ipv6 了
|
 |
28
wr410 2023-03-17 17:25:26 +08:00
问题不大,我每天晚上睡觉都关掉光猫,第二天起来又是一个崭新的天地
|
 |
29
gqfBzoLVY3Wl4Tng 2023-03-17 22:08:55 +08:00
@lieyan 我的建议是,切断光纤
|
 |
30
neroxps 2023-03-17 22:31:02 +08:00 via iPhone
某些人一直不是宣扬,ipv6 很安全,因为地址范围大,扫描成本很高。只要不泄露自己的域名或者 ip 就没事。
我反问,那你敢把你家里的群晖开 ipv6 然后密码是 123456 吗。( v4 nat 不映射 22 ) 不过有些人的确就这样做。开 v6 第一时间 forward accept 。😅 黑森林法则,你不联网,别人就不知道你的 ip 。 |
|
31
neroxps 2023-03-17 22:36:16 +08:00 via iPhone
举个例子,某个手机 apk 通过邻居发现收集 v6 地址,渗透简单的不得了。
然后沙雕言论就来了,谁没事入侵我家的群晖。 😅 v6 绝对是入侵蓝海。最简单就是拿下 pt 站点。分分钟搞到一大批下载机的 v6 地址。然后再直接 ssh 过去,弱口令扫就是了。绝对有收获。太多例子了。 |
|
32
neroxps 2023-03-17 22:42:16 +08:00 via iPhone
之前在群里劝人开 forward 还被冷嘲热讽。
反正我再劝人开 v6 防火墙的我就是狗,不开关我屌事。v6 地址范围很大 很安全就是了。数据没了又和我没关系,我 tm 就是犯贱。 |
 |
33
LnTrx 2023-03-18 01:25:53 +08:00  2
@neroxps IPv6 的超大地址空间防的是外部暴力扫描,相比 IPv4 攻击面确实大幅减少。但这一特性确实无法解决主动暴露回访和内网内鬼泄露。
外网回访的情况很早就出现了。一年多前我有发现 b 站直播用的 xx 云 CDN 会回扫 IPv6 端口,直接触发了卡巴斯基的警报。 至于内网内鬼那威胁的上限就更高了。设想一下,如果在 App 中结合 frp 类的功能,那所有假设内网安全的端口都可能被看光光,都没网关什么事了。(好在暂时还没发现这么缺德的) BT 作为一个主动汇报 IP 地址的机制,碰上弱口令端口是一个实实在在的风险。由于 v6 路由器防火墙配置门槛比较高,设备本身的安全建设就很重要了。建设完成后最好进行测试,以免碰到 Docker 绕过防火墙这种坑( /t/915279 )。另外也可以利用 IPv6 地址空间大的特性给风险应用分配独立的 IPv6 地址( /t/902568 )。 个人认为,适应 IPv6 的做法是放通网关防火墙,强化设备安全(零信任持续验证),两者要提要一起提、不可偏废。 |
 |
34
letmefly 2023-03-18 09:07:05 +08:00
IPv6 安全是一定的,但是堡垒通常都是从内部攻破的。黑客不是万能的
|
|
35
neroxps 2023-03-18 10:40:11 +08:00 via iPhone
@letmefly ipv6 安全性会比 ipv4 更高,至少黑客无法通过遍历的方法来获得存活主机。但因为地址库大就宣扬可以关闭防火墙的这种做法不敢苟同。
|
|
36
letmefly 2023-03-18 12:08:39 +08:00
关闭防火墙就完全是个人选择了。就像有的人不喜欢装杀毒软件,他们不是不知厉害,他们只是觉得不需要。
|
 |
37
Kunmona 2023-03-18 15:52:01 +08:00 via Android
用的 openwrt ,感觉它自带的 IPv6 防火墙就够用,防火墙禁止入站数据,需要开放某个服务也可以单独为某个设备的地址单独开放端口 https://www.kungeek.top/%e4%bd%bf%e7%94%a8%e5%8f%8d%e5%90%91%e6%8e%a9%e7%a0%81%e9%85%8d%e7%bd%aeopenwrt%e7%9a%84ipv6%e9%98%b2%e7%81%ab%e5%a2%99/
|
 |
38
HackerTerry 2023-03-18 22:15:28 +08:00
@Kunmona 那请问爱快主路由拨号,怎么开启 ipv6 防火墙呢?
|
|
39
Kunmona 2023-03-19 02:51:49 +08:00 via Android
@HackerTerry 爱快就没有 IPv6 防火墙
|
Select Language