电信IPv6的一些特征
Categories:
-
电信IPv6的一些特征
-
电信 IPv6 的一些特征
国内已经全面铺开 ipv6 使用, ipv6 地址池足够大, 个人的每个设备都可以获取到一个 ipv6 地址.
家庭用户使用时需要全栈设备都支持 ipv6 才能最终使用到 ipv6, 由于已经推了很多年, 目前来说 2016 年以后买的设备基本都支持 ipv6 了.
全栈设备包括: 城域设备->小区路由->家庭路由(光猫,路由器)->终端设备(手机,电脑,电视等)
这里不讨论标准的 ipv6 协议, 只讨论电信的 ipv6 的一些特征.
地址分配
首先是地址分配方式, ipv6 有三种分配方式: 静态分配, SLAAC, DHCPv6.
湖北电信使用的是 SLAAC, 也就是说电信的 ipv6 地址是由设备自动分配的, 由于电信的 ipv6 地址池足够大, 所以不会出现地址冲突的问题.
电信 ipv6 地址是随机分配的, 24 小时后重新分配. 如果要从外部访问, 必须使用 DDNS 服务.
防火墙
目前可以发现常见的80, 139, 445等端口已对齐 ipv4 防火前已经都封了, 这非常容易理解, 运营商级的防火墙确实能保护到缺乏网络安全意识的普通用户. 2020 年时电信 ipv6 都是开放的, 现在已经封了一些常用端口.
443端口在电信网内偶尔开放, 但对移动联通不开放. 开发者应注意这一点. 在开发环境测试好的服务, 甚至电信网路手机也能访问, 但移动手机网络却访问不了.
基于简单的防火墙测试, 建议开发者牢记对运营商防火墙的不信任, 选择一个5 位数的端口提供服务.
另外, 电信防火墙没有屏蔽22端口, Windows 的远程桌面服务端口3389也没有屏蔽.
也就是可以远程登录控制, 这会导致一些风险.
攻击者获取到 IP 或者 DDNS 域名后, 就可以开始展开针对攻击, 利用暴力破解的方式获取到密码, 从而获取到控制权, 域名也会暴露一些个人信息, 例如姓名, 住址等, 也可能利用社会工程学的方式获取到更多信息以加快破解速度.
建议关闭 ssh 的密码登录, 仅使用密钥登录, 或者使用 VPN 的方式进行远程登录, 或者使用跳板机的方式进行远程登录.