Skip to main content

17.3. IPv6 安全性驗證

· 3 min read

目前並無合適的工具可用來確認系統上關於 IPv6 網路的安全性問題。目前即使是 Nessus 或其他商業性安全性檢測軟體都還無法掃描 IPv6 位址.

17.3.1. 法律議題

注意:僅可掃描自有或經過對方授權的電腦,否則您將有遭遇法律追訴的可能。在掃描前請多確認掃描目的 IPv6 位址是否正確.

17.3.2. 使用 IPv6 - 支援 的 netcat 作 IPv6 安全性驗證

透過使用 IPv6 - 支援 的 netcat (可參照 IPv6+Linux-status-apps/security-auditing ) 你可以包裝一個指令段 (wrapping a script) 以完成在特定通訊埠區段的掃描,或取得 banners 等等工作。使用範例:

# nc6 ::1 daytime
13 JUL 2002 11:22:22 CEST

17.3.3. 使用 IPv6 - 支援 的 nmap 作 IPv6 安全性驗證

NMap, 作為世界上最棒的通訊埠掃描工具之一,從 3.10ALPHA1 版起即支援 IPv6 . 使用範例:

# nmap -6 -sT ::1
Starting nmap V. 3.10ALPHA3 ( www.insecure.org/nmap/ )
Interesting ports on localhost6 (::1):
(The 1600 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
53/tcp open domain
515/tcp open printer
2401/tcp open cvspserver
Nmap run completed -- 1 IP address (1 host up) scanned in 0.525 seconds

17.3.4. 使用 IPv6 - 支援 的 strobe 作 IPv6 安全性驗證

Strobe 是一個 (與 NMap 相較) 功能較簡單的通訊埠掃描工具,但也提供了 IPv6 - 支援修正檔 (參照 IPv6+Linux-status-apps/security-auditing ).

使用範例:

# ./strobe ::1 strobe 1.05 (c) 1995-1999 Julian Assange
::1 2401 unassigned unknown
::1 22 ssh Secure Shell - RSA encrypted rsh
::1 515 printer spooler (lpd)
::1 6010 unassigned unknown
::1 53 domain Domain Name Server

附註: strobe 並未繼續開發,在此顯示的版本並不十分正確.

17.3.5. 驗證結果

若驗證結果與你的 IPv6 安全策略不相符,使用 IPv6 防火牆來關閉漏洞,例如使用 netfilter6 (參照 Firewalling/Netfilter6 ). 資訊:更多關於 IP 安全性的資訊可在此取得: