זוהי הפקודה icmp6 שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
icmp6 - כלי הערכת אבטחה לוקטורי תקיפה המבוססים על מנות ICMPv6
תַקצִיר
icmp6 [-i ממשק] [-s SRC_ADDR[/LEN]] [-d DST_ADDR] [-S LINK_SRC_ADDR] [-D LINK-DST-
ADDR] [-c HOP_LIMIT] [-y FRAG_SIZE] [-u DST_OPT_HDR_SIZE] [-U DST_OPT_U_HDR_SIZE] [-H
HBH_OPT_HDR_SIZE] [-t TYPE[:CODE] | -e קוד | -A CODE -V CODE -R CODE] [-r TARGET_ADDR]
[-x PEER_ADDR] [-c HOP_LIMIT] [-m MTU] [-O POINTER] [-p PAYLOAD_TYPE] [-P PAYLOAD_SIZE]
[-n] [-a SRC_PORTL[:SRC_PORTH]] [-o DST_PORTL[:DST_PORTH]] [-X TCP_FLAGS] [-q TCP_SEQ] [-Q
TCP_ACK] [-V TCP_URP] [-w TCP_WIN] [-M] [-j PREFIX[/LEN]] [-k PREFIX[/LEN]] [-J LINK_ADDR]
[-K LINK_ADDR] [-b PREFIX[/LEN]] [-g PREFIX[/LEN]] [-B LINK_ADDR] [-G LINK_ADDR] [-f] [-L
| -l] [-z] [-v] [-h]
תיאור
icmp6 מאפשר הערכה של יישומי IPv6 ביחס למגוון התקפות
וקטורים המבוססים על הודעות שגיאה ICMPv6. זה חלק מ-IPv6 Toolkit של SI6 Networks: א
חבילת הערכת אבטחה עבור פרוטוקולי IPv6.
לכלי זה שני מצבי פעולה: "פעיל" ו"הקשבה". במצב פעיל, הכלי
תוקף יעד ספציפי מבלי להקשיב לתנועה נכנסת כלשהי, תוך כדי "האזנה"
במצב הכלי מאזין לתעבורה ברשת המקומית, ופותח התקפה בתגובה
לתנועה כזו. מצב פעיל מופעל אם צוינה כתובת יעד IPv6.
מצב "האזנה" מופעל אם האפשרות "-L" (או מקבילתה הארוכה "--האזנה") היא
מַעֲרֶכֶת. אם צוינו גם יעד תקיפה וגם האפשרות "-L", המתקפה יוצאת לדרך
כנגד היעד שצוין, ואז הכלי נכנס למצב "האזנה" כדי להגיב
מנות נכנסות עם הודעות שגיאה ICMPv6.
הכלי תומך בסינון של מנות נכנסות על סמך כתובת מקור ה-Ethernet, ה
כתובת יעד של Ethernet, כתובת מקור IPv6 וכתובת יעד IPv6.
ישנם שני סוגים של מסננים: "חסום מסננים" ו"קבל מסננים". אם יש "חסום
מסנן" מצוין, והחבילה הנכנסת תואמת לכל אחד מאותם מסננים, ההודעה היא
נמחק (ולכן לא נשלחות הודעות שגיאה ICMPv6 בתגובה). אם יש "קבל מסנן"
מוגדר, מנות נכנסות חייבות להתאים למסננים שצוינו כדי שהכלי יצליח
להגיב עם הודעות שגיאה ICMPv6.
אפשרויות
icmp6 לוקח את הפרמטרים שלו כאפשרויות שורת פקודה. ניתן לציין כל אחת מהאפשרויות
עם שם קצר (תו אחד לפני תו המקף, כמו למשל "-i") או עם
שם ארוך (מחרוזת שלפניה שני תווי מקף, כמו למשל "--interface").
הכלי icmp6 תומך בפיצול IPv6, שעשוי להועיל כדי לעקוף שכבה-2
סינון ו/או מערכות זיהוי חדירות ברשת (NIDS). עם זאת, פיצול IPv6
אינו מופעל כברירת מחדל, ויש להפעילו במפורש עם האפשרות "-y".
-i ממשק, --מִמְשָׁק ממשק
אפשרות זו מציינת את ממשק הרשת שבו הכלי ישתמש. אם ה
כתובת יעד ("אפשרות-d") היא כתובת קישור מקומית, או ה"האזנה"
מצב ("-L") נבחר, יש לציין את הממשק במפורש. הממשק
ניתן גם לציין יחד עם כתובת יעד, עם האפשרות "-d".
-s SRC_ADDR, --כתובת src SRC_ADDR
אפשרות זו מציינת את כתובת מקור ה-IPv6 (או קידומת IPv6) שתשמש עבור
כתובת המקור של מנות ההתקפה. אם צוינה קידומת, כתובת המקור
נבחר באקראי מתוך הקידומת הזו. אם אפשרות זו אינה מצוינת, ה-IPv6
כתובת המקור של מנות ההתקפה נבחרת באקראי מהקידומת ::/0.
-d DST_ADDR, --כתובת dst DST_ADDR
אפשרות זו מציינת את כתובת היעד IPv6 של הקורבן. אפשר להשאיר
לא מצוין רק אם האפשרות "-L" נבחרה (כלומר, אם הכלי אמור לפעול
במצב "האזנה").
כאשר פועלים במצב "האזנה" ("אפשרות-L"), כתובת היעד של IPv6 היא
נבחר בהתאם לכתובת המקור IPv6 של החבילה הנכנסת.
-S SRC_LINK_ADDR, --src-link-address SRC_LINK_ADDR
אפשרות זו מציינת את כתובת המקור בשכבת הקישור של מנות ההתקפה. אם נשאר
לא צוין, כתובת המקור של שכבת הקישור היא אקראית.
-D DST_LINK_ADDR, ---dst-link-address DST_LINK_ADDR
אפשרות זו מציינת את כתובת היעד בשכבת הקישור של מנות ההתקפה. אם
לא מצוין, הוא מוגדר לזה של הנתב המקומי (עבור לא מקומי
יעדים) או לזה המתאים למארח היעד (עבור מארחים מקומיים).
כאשר פועלים במצב "האזנה", כתובת היעד בשכבת הקישור מוגדרת ל
כתובת המקור של שכבת הקישור של החבילה הנכנסת.
-c HOP_LIMIT, --הופ-ליבל HOP_LIMIT
אפשרות זו מציינת את מגבלת ההופ לשימוש עבור הודעות ההפניה מחדש. אם זה
האפשרות לא מוגדרת, מגבלת ההופ עוברת אקראית לערך שבין 64 ל-
243.
-y גודל, --frag-hdr גודל
אפשרות זו מציינת שהודעות השגיאה ICMPv6 חייבות להיות מקוטעות. ה
יש לציין את גודל הפרגמנט כארגומנט לאפשרות זו.
-u HDR_SIZE, --dst-opt-hdr HDR_SIZE
אפשרות זו מציינת שיש לכלול כותרת של אפשרויות יעד
מנות יוצאות. יש לציין את גודל הכותרת של ההרחבה כארגומנט ל
אפשרות זו (הכותרת מלאה באפשרויות ריפוד). ריבוי יעדים
ניתן לציין כותרות אפשרויות באמצעות אפשרויות "-u" מרובות.
-U HDR_SIZE, --dst-opt-u-hdr HDR_SIZE
אפשרות זו מציינת כותרת של אפשרויות יעד שתיכלל ב-
"חלק בלתי ניתן לפרגמנט" של החבילות היוצאות. יש לציין את גודל הכותרת
כארגומנט לאפשרות זו (הכותרת מלאה באפשרויות ריפוד). מרובות
ניתן לציין כותרות של אפשרויות יעד באמצעות אפשרויות "-U" מרובות.
-H HDR_SIZE, --hbh-opt-hdr HDR_SIZE
אפשרות זו מציינת שיש לכלול כותרת של אפשרויות Hop-by-Hop ב-
מנות יוצאות. יש לציין את גודל הכותרת כארגומנט לאפשרות זו
(הכותרת מלאה באפשרויות ריפוד). כותרות של אפשרויות הופ-אחר-הופ מרובות
ניתן לציין באמצעות אפשרויות "-H" מרובות.
-t סוג, --icmp6 סוג
אפשרות זו מציינת את הסוג והקוד של הודעת השגיאה ICMPv6 בטופס
"--icmp6 TYPE:CODE". אם לא צוין, הודעת השגיאה ICMPv6 מוגדרת כברירת מחדל
"בעיית פרמטר, שדה כותרת שגוי נתקל" (סוג 4, קוד 0).
הערה: אפשרויות אחרות (כגון "--icmp6-unreachable") מספקות חלופה עבור
הגדרת סוג וקוד ICMPv6.
-e, --icmp6-dest-unreach
אפשרות זו מגדירה את סוג ICMPv6 ל-"1" (לא ניתן להגיע ליעד), ומאפשרת את
למשתמש לציין את קוד ICMPv6, בצורה "--icmp6-dest-unreach CODE".
הערה: אפשרות זו היא חלופה לאפשרות "-t" להגדרת סוג ICMPv6
וקוד.
-E, --icmp6-packet-too-big
אפשרות זו מגדירה את סוג ICMPv6 ל-"1", ואת קוד ICMPv6 ל-"0" (גם חבילה
גָדוֹל).
הערה: אפשרות זו היא חלופה לאפשרות "-t" להגדרת סוג ICMPv6
וקוד.
-A, --icmp6-time-exceeded
אפשרות זו מגדירה את סוג ICMPv6 ל-"3" (זמן חריגה), ומאפשרת למשתמש לעשות זאת
ציין את קוד ICMPv6, בצורה "--icmp6-time-exceeded CODE".
הערה: אפשרות זו היא חלופה לאפשרות "-t" להגדרת סוג ICMPv6
וקוד.
-R, --icmp6-param-problem
אפשרות זו מגדירה את סוג ICMPv6 ל-"4" (בעיית פרמטר), ומאפשרת למשתמש לעשות זאת
ציין את קוד ICMPv6, בצורה "--icmp6-param-problem CODE".
הערה: אפשרות זו היא חלופה לאפשרות "-t" להגדרת סוג ICMPv6
וקוד.
-m MTU, --mtu MTU
זה מציין את הערך של השדה "MTU" של השגיאה ICMPv6 Packet Too Big
הודעות.
-O מַצבִּיעַ, --מַצבִּיעַ מַצבִּיעַ
אפשרות זו מציינת את הערך של שדה "מצביע" של ICMPv6 Parameter Problem
הודעות שגיאה.
-p סוג, --סוג מטען סוג
אפשרות זו מציינת את סוג המטען שייכלל ב-ICMPv6 Payload.
המטענים הנתמכים כעת הם "TCP", "UDP" ו-"ICMP6". סוג המטען
ברירת המחדל היא "TCP".
כאשר הכלי פועל במצב "האזנה", אפשרות זו מציינת את סוג
חבילות שהכלי יקשיב להן. במצב האזנה, סוג נוסף יכול להיות
צוין: "IP6"; זה יגרום לכלי להאזין לכל תעבורת IPv6.
-P גודל, --גודל מטען גודל
גודל המטען שייכלל במטען ICMPv6 (עם סוג המטען
מוגדר על ידי האפשרות "-p"). כברירת מחדל, כמה שיותר בתים
כלול, מבלי לחרוג מ-IPv6 MTU המינימלי (1280 בתים).
-n, --ללא מטען
אפשרות זו מציינת שאף מטען לא ייכלל בשגיאת ICMPv6
הוֹדָעָה.
-C HOP_LIMIT, --ipv6-hlim HOP_LIMIT
אפשרות זו מציינת את מגבלת ההופ של חבילת ה-IPv6 הכלולה במטען של
הודעת השגיאה ICMPv6. אם אפשרות זו אינה מוגדרת, מגבלת ההופ היא
באקראי לערך שבין 64 ל-243.
-r כתובת, --target-addr כתובת
אפשרות זו מציינת את כתובת המקור של חבילת ה-IPv6 המוטמעת ב-
הודעת שגיאה ICMPv6. אם לא מצוין, הוא מוגדר לאותה כתובת כמו ה-
כתובת יעד IPv6 של החבילה החיצונית.
כאשר פועלים ב"מצב האזנה", הכלי מטמיע אוטומטית חלק מה-
מנה שהתקבלה (אלא אם צוין אחרת על ידי האפשרות "-n"), ומכאן ה-IPv6
כתובת המקור של חבילת ה-IPv6 המוטבעת מוגדרת בהתאם.
-x כתובת, --עמית-addr כתובת
אפשרות זו מציינת את כתובת היעד של חבילת ה-IPv6 המוטבעת
בהודעת השגיאה ICMPv6. אם לא מצוין, הוא מוגדר לערך אקראי.
כאשר פועלים ב"מצב האזנה", הכלי מטמיע אוטומטית חלק מה-
מנה שהתקבלה (אלא אם צוין אחרת על ידי האפשרות "-n"), ומכאן ה-IPv6
כתובת היעד של חבילת ה-IPv6 המוטבעת מוגדרת בהתאם.
הערה: מכיוון שהמארח הקורבן צפוי לבדוק את הודעת השגיאה ICMPv6
מתאים למופע תקשורת מתמשך, כאשר הוא פועל ב"מצב פעיל",
אפשרות זו צריכה להיות מוגדרת לערך המתאים לתקשורת מתמשכת
למשל.
-o נמל, --- Target-Port נמל
אפשרות זו מציינת את יציאת המקור של חבילת ה-TCP או UDP הכלולה ב-
מטען ICMPv6. אם צוין טווח יציאות בצורה "-o LOWPORT:HIGHPORT" ה
הכלי ישלח הודעת שגיאה אחת של ICMPv6 עבור כל יציאה בטווח זה.
הערה: אפשרות זו היא בעלת משמעות רק אם צוינו "TCP" או "UDP" (עם
אפשרות "-p").
-a נמל, --נמל עמיתים נמל
אפשרות זו מציינת את יציאת היעד של חבילת TCP או UDP הכלולה ב
מטען ICMPv6. אם צוין טווח יציאות בצורה "-o LOWPORT:HIGHPORT"
הכלי ישלח הודעת שגיאה אחת ICMPv6 עבור כל יציאה בטווח זה.
הערה: אפשרות זו היא בעלת משמעות רק אם צוינו "TCP" או "UDP" (עם
אפשרות "-p").
-X TCP_FLAGS, --tcp-flags TCP_FLAGS
אפשרות זו מציינת את הדגלים של כותרת ה-TCP הכלולה ב-ICMPv6 Payload.
הדגלים מצוינים כ-"F" (FIN), "S" (SYN), "R" (RST), "P" (PSH), "A" (ACK),
"U" (URG), "X" (ללא דגלים). אם לא מצוין, רק סיבית ה-"ACK" מוגדרת.
הערה: אפשרות זו היא בעלת משמעות רק אם צוין "TCP" (עם ה-"-p"
אוֹפְּצִיָה).
-q SEQ_NUMBER, --tcp-seq SEQ_NUMBER
אפשרות זו מציינת את מספר הרצף של כותרת ה-TCP הכלולה ב-ICMPv6
מטען. אם לא יצוין, מספר הרצף יהיה אקראי.
הערה: אפשרות זו היא בעלת משמעות רק אם צוין "TCP" (עם ה-"-p"
אוֹפְּצִיָה).
-Q ACK_NUMBER, --tcp-ack ACK_NUMBER
אפשרות זו מציינת את מספר האישור של כותרת ה-TCP הכלולה ב-
מטען ICMPv6. אם לא יצוין, מספר ההכרה הוא אקראי.
הערה: אפשרות זו היא בעלת משמעות רק אם צוין "TCP" (עם ה-"-p"
אוֹפְּצִיָה).
-V URG_POINTER, --tcp-urg URG_POINTER
אפשרות זו מציינת את המצביע הדחוף של כותרת ה-TCP הכלולה ב-ICMPv6
מטען. אם לא מצוין, המצביע הדחוף מוגדר ל-0.
הערה: אפשרות זו היא בעלת משמעות רק אם צוין "TCP" (עם ה-"-p"
אוֹפְּצִיָה).
-w TCP_WIN, --tcp-win TCP_WIN
אפשרות זו מציינת את החלון של כותרת ה-TCP הכלולה במטען ICMPv6.
אם לא צוין, החלון עובר אקראי.
הערה: אפשרות זו היא בעלת משמעות רק אם צוין "TCP" (עם ה-"-p"
אוֹפְּצִיָה).
-j SRC_ADDR, --block-src SRC_ADDR
אפשרות זו מגדירה מסנן חסימה עבור החבילות הנכנסות, בהתבסס על ה-IPv6 שלהן
כתובת המקור. זה מאפשר מפרט של קידומת IPv6 בצורה "-j
prefix/prefixlen". אם לא צוין אורך הקידומת, אורך קידומת של "/128"
נבחר (כלומר, האפשרות מניחה שכתובת IPv6 יחידה, במקום כתובת
קידומת IPv6, צוינה).
-k DST_ADDR, --block-dst DST_ADDR
אפשרות זו מגדירה מסנן חסימה להודעות הנכנסות של שידול שכן,
מבוסס על כתובת היעד שלהם ב-IPv6. זה מאפשר מפרט של IPv6
קידומת בצורת "-k prefix/prefixlen". אם לא צוין אורך הקידומת, א
אורך הקידומת "/128" נבחר (כלומר, האפשרות מניחה ש-IPv6 יחיד
צוינה כתובת, במקום קידומת IPv6).
-J SRC_ADDR, --block-link-src SRC_ADDR
אפשרות זו מגדירה מסנן חסימה עבור החבילות הנכנסות, בהתבסס על שכבת הקישור שלהן
כתובת המקור. אחרי האפשרות חייבת להיות כתובת שכבת קישור (כרגע,
רק Ethernet נתמך).
-K DST_ADDR, --block-link-dst DST_ADDR
אפשרות זו מגדירה מסנן חסימה עבור החבילות הנכנסות, בהתבסס על שכבת הקישור שלהן
כתובת יעד. אחרי האפשרות חייבת להיות כתובת שכבת קישור
(כרגע, רק Ethernet נתמך).
-b SRC_ADDR, --accept-src SRC_ADDR
אפשרות זו מגדירה מסנן קבלה עבור החבילות הנכנסות, בהתבסס על ה-IPv6 שלהן
כתובת המקור. זה מאפשר לציין קידומת IPv6 בצורה "-b
prefix/prefixlen". אם לא צוין אורך הקידומת, אורך קידומת של "/128"
נבחר (כלומר, האפשרות מניחה שכתובת IPv6 יחידה, במקום כתובת
קידומת IPv6, צוינה).
-g DST_ADDR, --accept-dst DST_ADDR
אפשרות זו מגדירה מסנן קבלה עבור החבילות הנכנסות, בהתבסס על ה-IPv6 שלהן
כתובת יעד. זה מאפשר מפרט של קידומת IPv6 בצורה "-g
prefix/prefixlen". אם לא צוין אורך הקידומת, אורך קידומת של "/128"
נבחר (כלומר, האפשרות מניחה שכתובת IPv6 יחידה, במקום כתובת
קידומת IPv6, צוינה).
-B SRC_ADDR, --accept-link-src SRC_ADDR
אפשרות זו מגדירה מסנן קבלה להודעות הנכנסות של שידול שכן,
בהתבסס על כתובת המקור שלהם בשכבת הקישור. אחרי האפשרות יש להופיע א
כתובת שכבת קישור (כרגע, רק Ethernet נתמך).
-G DST_ADDR, --accept-link-dst DST_ADDR
אפשרות זו מגדירה מסנן קבלה עבור החבילות הנכנסות, על סמך אותן
כתובת יעד בשכבת קישור. אחרי האפשרות חייבת להיות כתובת שכבת קישור
(כרגע, רק Ethernet נתמך).
-f, --שפיות-מסננים
אפשרות זו מוסיפה אוטומטית "מסנן חסימה" עבור כתובת המקור IPv6 של
חבילות.
הערה: אפשרות זו עשויה להיות רצויה כאשר הכלי פועל ב"מצב האזנה" ו
מקבל הוראה להאזין למנות "ICMP6" או "IP6" (ובכך אולי להימנע ממנות
לולאות).
-l, --לוּלָאָה
אפשרות זו מורה לכלי icmp6 לשלוח הודעות שגיאה תקופתיות של ICMPv6 אל
צומת הקורבן. משך הזמן להשהות בין שליחת הודעות שגיאה ICMPv6 יכול
יצוין באמצעות האפשרות "-z", וברירת המחדל היא שנייה אחת. שימו לב שזה
לא ניתן להגדיר את האפשרות ביחד עם האפשרות "-L" ("--האזנה").
-z, --לִישׁוֹן
אפשרות זו מציינת את משך הזמן להשהיה בין שליחת שגיאת ICMPv6
הודעות (כאשר האפשרות "--לולאה" מוגדרת). אם לא מצוין, ברירת המחדל היא 1
שְׁנִיָה.
-L, --להקשיב
זה מורה לכלי icmp6 לפעול במצב "האזנה" (אולי לאחר
תוקפת צומת נתון). שימו לב שלא ניתן להשתמש באפשרות זו בשילוב עם
האפשרות "-l" ("--לולאה").
-v, --מִלוּלִי
אפשרות זו מורה לכלי icmp6 להיות מילולי. כאשר האפשרות מוגדרת פעמיים,
הכלי הוא "מאוד מילולי", והכלי גם מודיע אילו מנות היו
התקבל או נמחק כתוצאה מהחלת המסננים שצוינו.
-h, - עזרה
הדפס מידע עזרה עבור icmp6 כלי.
דוגמאות
הסעיפים הבאים ממחישים מקרי שימוש טיפוסיים של icmp6 כלי.
דוגמה #1
# icmp6 -i eth0 -L -p TCP -v
הכלי משתמש בממשק הרשת "eth0", ופועל במצב "האזנה" ("-L"
אוֹפְּצִיָה). כל הודעת שגיאה ICMPv6 תכיל את מטען ICMPv6 כמספר בתים מה-
מנה שנלכדה מבלי לחרוג מה-IPv6 MTU המינימלי (1280 בתים). הכלי ידפיס
מידע מפורט על המתקפה ("אפשרות-v").
דוגמה #2
# icmp6 --icmp6-packet-too-big -p ICMP6 -d 2001:db8:10::1 --peer-addr 2001:db8:11::2 -m
1240 -v
הכלי ישלח הודעת שגיאה ICMPv6 Packet Too Big המפרסמת MTU של 1240
בתים. הודעת השגיאה ICMPv6 תישלח לכתובת " "2001:db8:10::1". ה-ICMPv6
הודעת שגיאה תטמיע הודעת ICMPv6 Echo Request עם כתובת המקור מוגדרת ל
"2001:db8:10::1" (כלומר, כתובת היעד של הודעת השגיאה), והיעד
הכתובת מוגדרת ל-"2001:db8:11::2) ("אפשרות--peer-addr"). הערך של "מזהה" ו-
שדות "מספר רצף" של הודעת ICMPv6 Echo Request המוטבעת יחולקו באקראי.
הכלי יספק מידע מפורט על המתקפה ("אפשרות-v").
השתמש ב-icmp6 באינטרנט באמצעות שירותי onworks.net