電信IPv6的一些特徵
Categories:
-
電信IPv6的一些特徵
-
電信 IPv6 的一些特徵
國內已經全面鋪開 ipv6 使用, ipv6 地址池足夠大, 個人的每個設備都可以獲取到一個 ipv6 地址.
家庭用戶使用時需要全棧設備都支援 ipv6 才能最終使用到 ipv6, 由於已經推了很多年, 目前來說 2016 年以後買的設備基本都支援 ipv6 了.
全棧設備包括: 城域設備->小區路由->家庭路由(光貓,路由器)->終端設備(手機,電腦,電視等)
這裡不討論標準的 ipv6 協議, 只討論電信的 ipv6 的一些特徵.
地址分配
首先是地址分配方式, ipv6 有三種分配方式: 靜態分配, SLAAC, DHCPv6.
湖北電信使用的是 SLAAC, 也就是說電信的 ipv6 地址是由設備自動分配的, 由於電信的 ipv6 地址池足夠大, 所以不會出現地址衝突的問題.
電信 ipv6 地址是隨機分配的, 24 小時後重新分配. 如果要從外部訪問, 必須使用 DDNS 服務.
防火牆
目前可以發現常見的80, 139, 445等端口已對齊 ipv4 防火前已經都封了, 這非常容易理解, 運營商級的防火牆確實能保護到缺乏網路安全意識的普通用戶. 2020 年時電信 ipv6 都是開放的, 現在已經封了一些常用端口.
443端口在電信網內偶爾開放, 但對移動聯通不開放. 開發者應注意這一點. 在開發環境測試好的服務, 甚至電信網路手機也能訪問, 但移動手機網路卻訪問不了.
基於簡單的防火牆測試, 建議開發者牢記對運營商防火牆的不信任, 選擇一個5 位數的端口提供服務.
另外, 電信防火牆沒有屏蔽22端口, Windows 的遠程桌面服務端口3389也沒有屏蔽.
也就是可以遠程登錄控制, 這會導致一些風險.
攻擊者獲取到 IP 或者 DDNS 域名後, 就可以開始展開針對攻擊, 利用暴力破解的方式獲取到密碼, 從而獲取到控制權, 域名也會暴露一些個人資訊, 例如姓名, 住址等, 也可能利用社會工程學的方式獲取到更多資訊以加快破解速度.
建議關閉 ssh 的密碼登錄, 僅使用密鑰登錄, 或者使用 VPN 的方式進行遠程登錄, 或者使用跳板機的方式進行遠程登錄.