ICMPv6 neighbor solicitation von 2605:6404:120::5 und

Discussion:

(zu alt für eine Antwort)

Marco Moock

2023-09-09 12:30:39 UTC

Hallo zusammen!

Beim Debuggen anderen Sachen ist mir im Wireshark aufgefallen, dass
jemand von 2605:6404:120::5 und fc00:bbbb:bbbb:bb01::5:1a66
(site-local, da wird der nie und nimmer ne Antwort bekommen) Neighbor
solicitations schickt, und das mehrere tausend mal, praktisch
sekündlich.

Die Absenderadresse kann natürlich gefälscht sein.
Mein Rechner antwortet natürlich nicht darauf, weil das Hop-Limit nicht
255 ist, sondern 244 bzw. 243.

Bei mir auf dem Rechner läuft Bittorrent, darüber können Leute die
IPv6-Adresse erfahren.
Ebenso natürlich jeder, der Mails von mir liest, die von dem Rechner
verschickt wurden (Received-Header) und jede IPv6-Website.

Was für einen Zweck hat sowas?
Will mich wer ärgern (falls ja: Er hat es noch nicht geschafft)?

--
Gruß
Marco

Ignatios Souvatzis

2023-09-11 11:14:44 UTC

Permalink

Beim Debuggen anderen Sachen ist mir im Wireshark aufgefallen, dass > jemand von 2605:6404:120::5 und fc00:bbbb:bbbb:bb01::5:1a66 > (site-local, da wird der nie und nimmer ne Antwort bekommen) Neighbor > solicitations schickt, und das mehrere tausend mal, praktisch
sekündlich.

Nunja, damit bekommst du die MAC 'raus. Oder jedenfalls eine MAC. Und
kannst damit den Zielrechner mglw. zu einem Datenbündel ordnen, das
bei seiner aktiven Verwendung wg. nicht-SLAAC anonymisiert war.

Vielleicht würd er aufhören, wenn er eine Antwort bekäme?
Oder hat sich verkonfiguriert, und betrachtet alles als link-local und
fragt nach Neighbor?

Fragen ueber Fragen. Vielleicht kann frantech solutions darauf antworten.
whois -h whois.arin.net 2605:6404:120::5

-is

Marco Moock

2023-09-11 12:12:21 UTC

Permalink

Post by Ignatios Souvatzis
Nunja, damit bekommst du die MAC 'raus. Oder jedenfalls eine MAC. Und
kannst damit den Zielrechner mglw. zu einem Datenbündel ordnen, das
bei seiner aktiven Verwendung wg. nicht-SLAAC anonymisiert war.

Ziel war meine SLAAC-Adresse.

Post by Ignatios Souvatzis
Vielleicht würd er aufhören, wenn er eine Antwort bekäme?

Die dürfte der aber genauso ignorieren wie ich seine Anfrage, denn das
Hop-Limit ist nicht 255.

Marco Moock

2023-09-12 08:32:17 UTC

Permalink

Post by Marco Moock
Ziel war meine SLAAC-Adresse.

Jetzt geht es auf meine temporäre Adresse (Privacy Extensions).
Scheint also jemand zu sein, mit dem ich mich verbinde (z.B. Bittorrent
für Linux-Images, Websites etc.).

Marco Moock

2024-06-04 08:59:42 UTC

Permalink

Post by Marco Moock
Beim Debuggen anderen Sachen ist mir im Wireshark aufgefallen, dass
jemand von 2605:6404:120::5 und fc00:bbbb:bbbb:bb01::5:1a66
(site-local, da wird der nie und nimmer ne Antwort bekommen) Neighbor
solicitations schickt, und das mehrere tausend mal, praktisch
sekündlich.

Das gibt es nun von anderen Adressen.
2606:40:152:31c5::c61:d52e

Die gehört zu Google One.

Spannend ist, dass im ICMP-Teil das Feld der source-MAC leer ist.
Man kann das System aber pingen, d.h., Konnektivität ist vorhanden.
Ebenfalls kommuniziert das per Bittorrent mit mir.

--
Gruß
Marco

Spam und Werbung bitte an
***@nirvana.admins.ws