在IPv4下,我经常使用nmap来扫描我的整个IP范围,以识别新连接的设备,更新我的文档,追踪和closures不属于networking的东西等。我甚至有自动执行此操作的工具,例如我的AV软件扫描一个定义的IP范围,然后安装AV软件的任何它可以看到在该范围内。
在IPv6下这将是不可行的,因为我将从扫描几千个IP地址到多个quntillions。
替代方法是什么? 路由器/交换机能够报告最近看到的IPv6地址,所以我可以端口扫描networking上的所有内容吗? 这是我能看到的唯一方法,但我期望SF会有更多更好的想法。
是的,powershell扫描IPv6networking是徒劳的,这对于networking安全来说是一件非常好的事情。 作为系统pipe理员,您仍然有许多信息来源可以帮助您查看networking:
networking上的路由器(可能运行radvd)可以logging请求IPv6无状态自动configuration的客户端。 如果要强制所有自动configuration客户端发送路由器请求,可以closuresradvd的定期免费路由器通告。
您的DHCPv6服务器(如果有的话)可以logging所有请求/接收IPv6状态configuration的客户端。
您可以嗅探ICMPv6stream量,其中包括邻居请求组播(相当于IPv4 ARP)。 您的networking上任何试图以静态configuration“隐身”的设备仍然必须发送此类数据包才能与本地链路上的其他设备进行通信。
当然,你自己的服务器会有适当的静态IP地址logging,所以你总是知道如何到达它们。 在IPv4中为服务器提供静态的DHCP租约是一个糟糕的主意,在IPv6中这样做依然是个坏主意。
IPv6还处于早期阶段,但我预计在未来几年,我们将开始看到DNS和radvd / DHCPv6之间的更好的整合,因此必要时将有更好的networking库存/报告工具。
我不确定你的需求究竟是什么(networking规模等),但我怀疑这样的问题会随着IPV6获得更多的牵引力而不断发展。
在此期间,您可以分层处理这个问题。
DHCP服务器将跟踪要求的地址。
几乎任何设置为混杂监视的设备都会看到一些广播通信量的RARP / ARP请求,并可以寻找exception/新设备。
交换机的监控端口上的机器可以查找来自新设备的stream量。
在边境的代理可以很容易地跟踪什么是网页浏览或使用其他服务。
蜜jar机器可以使用SNORT等方式监控networkingstream量,以防您担心某些事情或有人在networking上跳转以探测您的机器。
您的交换机可以监视连接到每个端口的内容,并报告哪些设备正在发送stream量,如果您有交换机支持这个。
您甚至可以限制交换机允许哪些IP通过它们路由,以便创buildvlans并限制在给定子网上查找的stream量。 根据你的情况,可能会有更多的工作比它的价值还要多,但是这意味着即使在IPV6networking中,你也不需要扫描多less地址,因为有天空中的星星来寻找不寻常的交通和任何跳跃将不得不适应该IP地址段以便做任何事情或得到适当的路由。
我build议你看一看DHCPv6–我的理解是虽然IP地址可以在IPv6上自动configuration,但是DNS服务器等东西仍然需要configurationDHCP。
在你的情况下,使用DHCP服务器将能够报告哪些租赁目前是活跃的,这应该给你一个合理的想法,在networking上可用的客户端。