Це команда icmp6, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн емулятор Windows або онлайн емулятор MAC OS
ПРОГРАМА:
ІМ'Я
icmp6 - інструмент оцінки безпеки для векторів атак на основі пакетів ICMPv6
СИНТАКСИС
icmp6 [-i ІНТЕРФЕЙС] [-s SRC_ADDR[/LEN]] [-d DST_ADDR] [-S LINK_SRC_ADDR] [-D LINK-DST-
ADDR] [-c HOP_LIMIT] [-y FRAG_SIZE] [-u DST_OPT_HDR_SIZE] [-U DST_OPT_U_HDR_SIZE] [-H
HBH_OPT_HDR_SIZE] [-t TYPE[:CODE] | -e КОД | -A CODE -V CODE -R CODE] [-r TARGET_ADDR]
[-x PEER_ADDR] [-c HOP_LIMIT] [-m MTU] [-O POINTER] [-p PAYLOAD_TYPE] [-P PAYLOAD_SIZE]
[-n] [-a SRC_PORTL[:SRC_PORTH]] [-o DST_PORTL[:DST_PORTH]] [-X TCP_FLAGS] [-q TCP_SEQ] [-Q
TCP_ACK] [-V TCP_URP] [-w TCP_WIN] [-M] [-j ПРЕФІКС[/LEN]] [-k ПРЕФІКС[/LEN]] [-J LINK_ADDR]
[-K LINK_ADDR] [-b ПРЕФІКС[/LEN]] [-g ПРЕФІКС[/LEN]] [-B LINK_ADDR] [-G LINK_ADDR] [-f] [-L
| -l] [-z] [-v] [-h]
ОПИС
icmp6 дозволяє оцінити реалізації IPv6 щодо різноманітних атак
вектори на основі повідомлень про помилки ICMPv6. Це частина інструментарію IPv6 Networks SI6 Networks: a
пакет оцінки безпеки для протоколів IPv6.
Цей інструмент має два режими роботи: «активний» і «прослуховування». В активному режимі інструмент
атакує конкретну ціль, не прослуховуючи вхідний трафік, перебуваючи в режимі «прослуховування»
У режимі інструмент прослуховує трафік у локальній мережі та запускає атаку у відповідь
до такого трафіку. Активний режим використовується, якщо вказана адреса призначення IPv6.
Режим «слухання» використовується, якщо параметр «-L» (або його довгий аналог «--listen»)
набір. Якщо вказано як ціль атаки, так і параметр «-L», атака запускається
проти вказаної мети, а потім інструмент переходить у режим «прослуховування», щоб відповісти
вхідні пакети з повідомленнями про помилки ICMPv6.
Інструмент підтримує фільтрацію вхідних пакетів на основі адреси джерела Ethernet
Адреса призначення Ethernet, адреса джерела IPv6 та адреса призначення IPv6.
Існує два типи фільтрів: «блокові фільтри» та «фільтри прийняття». Якщо будь-який "блок
filter", а вхідний пакет відповідає будь-якому з цих фільтрів, таке повідомлення
відкидається (тому у відповідь не надсилаються повідомлення про помилки ICMPv6). Якщо будь-який "фільтр прийняти"
вказано, вхідні пакети повинні відповідати вказаним фільтрам, щоб інструмент міг
відповідати повідомленнями про помилки ICMPv6.
ВАРІАНТИ
icmp6 приймає свої параметри як параметри командного рядка. Кожен з варіантів можна вказати
з короткою назвою (один символ перед символом дефіса, наприклад, "-i") або з
довге ім'я (рядок перед двома символами дефіса, наприклад "--interface").
Інструмент icmp6 підтримує фрагментацію IPv6, яка може бути корисною для обходу рівня 2
фільтрація та/або системи виявлення вторгнення в мережу (NIDS). Однак фрагментація IPv6
не ввімкнено за замовчуванням і має бути ввімкнено явно за допомогою параметра "-y".
-i ІНТЕРФЕЙС, --інтерфейс ІНТЕРФЕЙС
Цей параметр визначає мережевий інтерфейс, який використовуватиме інструмент. Якщо
адреса призначення (опція "-d") - це локальна адреса посилання або "прослуховування"
("-L") вибрано режим, інтерфейс повинен бути явно вказаний. Інтерфейс
також можна вказати разом з адресою призначення з опцією "-d".
-s SRC_ADDR, --src-адреса SRC_ADDR
Цей параметр визначає вихідну адресу IPv6 (або префікс IPv6), яка буде використовуватися для
Адреса джерела атакуючих пакетів. Якщо вказано префікс, адреса джерела
вибирається випадковим чином з цього префікса. Якщо цей параметр не вказано, IPv6
Адреса джерела атакуючих пакетів вибирається випадковим чином з префікса ::/0.
-d DST_ADDR, --dst-адреса DST_ADDR
Цей параметр визначає адресу призначення IPv6 жертви. Його можна залишити
невизначений, лише якщо вибрано параметр "-L" (тобто, якщо інструмент повинен працювати
в режимі «прослуховування»).
При роботі в режимі «прослуховування» (опція «-L») адреса призначення IPv6 є
вибрано відповідно до адреси джерела IPv6 вхідного пакета.
-S SRC_LINK_ADDR, --src-адреса-посилання SRC_LINK_ADDR
Цей параметр визначає вихідну адресу на рівні каналу для пакетів атаки. Якщо залишити
не вказано, вихідна адреса рівня зв’язку є рандомізованою.
-D DST_LINK_ADDR, --dst-адреса-посилання DST_LINK_ADDR
Цей параметр визначає адресу призначення пакетів атаки на рівні каналу. Якщо
залишено невизначеним, для нього встановлено значення локального маршрутизатора (для нелокального
пункти призначення) або до відповідного хосту призначення (для локальних хостів).
Під час роботи в режимі «прослуховування» для адреси призначення на рівні каналу встановлено значення
адреса джерела на рівні каналу вхідного пакета.
-c HOP_LIMIT, --hop-ліміт HOP_LIMIT
Цей параметр визначає ліміт стрибків, який буде використовуватися для повідомлень переспрямування. Якщо це
Якщо параметр не вказано, ліміт стрибків рандомізовано до значення від 64 до
243.
-y SIZE, --frag-hdr SIZE
Цей параметр визначає, що повідомлення про помилки ICMPv6 мають бути фрагментовані. The
розмір фрагмента необхідно вказати як аргумент цієї опції.
-u HDR_SIZE, --dst-opt-hdr HDR_SIZE
Ця опція вказує, що заголовок параметрів призначення має бути включений до
вихідний(і) пакет(и). Розмір заголовка розширення необхідно вказати як аргумент
цей параметр (заголовок заповнений параметрами доповнення). Кілька пунктів призначення
Заголовки параметрів можуть бути вказані за допомогою кількох опцій "-u".
-U HDR_SIZE, --dst-opt-u-hdr HDR_SIZE
Цей параметр визначає заголовок параметрів призначення, який буде включено до
"нефрагментована частина" вихідного пакета(ів). Необхідно вказати розмір заголовка
як аргумент цієї опції (заголовок заповнений параметрами заповнення). Кілька
Заголовки параметрів призначення можна вказати за допомогою кількох параметрів «-U».
-H HDR_SIZE, --hbh-opt-hdr HDR_SIZE
Цей параметр вказує, що заголовок параметрів Hop-by-Hop має бути включений до
вихідний(і) пакет(и). Розмір заголовка необхідно вказати як аргумент цієї опції
(заголовок заповнений параметрами заповнення). Кілька заголовків параметрів Hop-by-Hop
можна вказати за допомогою кількох опцій "-H".
-t TYPE, --icmp6 TYPE
Цей параметр визначає тип і код повідомлення про помилку ICMPv6 у формі
"--icmp6 TYPE:CODE". Якщо не вказати, за замовчуванням відображатиметься повідомлення про помилку ICMPv6
"Проблема з параметрами, виявлено помилкове поле заголовка" (Тип 4, код 0).
Примітка. Інші параметри (наприклад, "--icmp6-unreachable") є альтернативою для
встановлення типу та коду ICMPv6.
-e, --icmp6-dest-unreach
Цей параметр встановлює для типу ICMPv6 значення "1" (пункт призначення недоступний) і дозволяє
користувач, щоб вказати код ICMPv6 у формі «--icmp6-dest-unreach CODE».
Примітка: цей параметр є альтернативою параметру "-t" для встановлення типу ICMPv6
і код.
-E, --icmp6-пакет-завеликий
Цей параметр встановлює тип ICMPv6 на "1", а код ICMPv6 на "0" (пакет теж
Великий).
Примітка: цей параметр є альтернативою параметру "-t" для встановлення типу ICMPv6
і код.
-A, --icmp6-time-exceeded
Цей параметр встановлює для типу ICMPv6 значення "3" (час перевищено) і дозволяє користувачеві
вкажіть код ICMPv6 у формі «--icmp6-time-exceeded CODE».
Примітка: цей параметр є альтернативою параметру "-t" для встановлення типу ICMPv6
і код.
-R, --icmp6-param-problem
Цей параметр встановлює для типу ICMPv6 значення "4" (Проблема з параметрами) і дозволяє користувачеві
вкажіть код ICMPv6 у формі «--icmp6-param-problem CODE».
Примітка: цей параметр є альтернативою параметру "-t" для встановлення типу ICMPv6
і код.
-m MTU, --mtu MTU
Це визначає значення поля "MTU" помилки ICMPv6 Packet Too Big
повідомлення
-O Вказівник, -- покажчик Вказівник
Цей параметр визначає значення поля «Покажчик» проблеми з параметрами ICMPv6
повідомлення про помилки.
-p TYPE, --тип корисного навантаження TYPE
Цей параметр визначає тип корисного навантаження, яке буде включено до корисного навантаження ICMPv6.
Наразі підтримуються корисні навантаження "TCP", "UDP" і "ICMP6". Тип корисного навантаження
за замовчуванням "TCP".
Коли інструмент працює в режимі «Прослуховування», цей параметр визначає тип
пакети, які інструмент буде слухати. У режимі прослуховування може бути додатковий тип
зазначено: «IP6»; це змусить інструмент прослуховувати весь трафік IPv6.
-P SIZE, --розмір корисного навантаження SIZE
Розмір корисного навантаження, яке буде включено до корисного навантаження ICMPv6 (з типом корисного навантаження
вказується опцією "-p"). За замовчуванням, якомога більше байтів
включено, не перевищуючи мінімального IPv6 MTU (1280 байт).
-n, --без корисного навантаження
Цей параметр вказує, що жодне корисне навантаження не повинно бути включено в помилку ICMPv6
повідомлення.
-C HOP_LIMIT, --ipv6-hlim HOP_LIMIT
Цей параметр визначає межу стрибків пакету IPv6, включеного в корисне навантаження
повідомлення про помилку ICMPv6. Якщо цей параметр не вказано, буде встановлено обмеження стрибків
рандомізовано до значення від 64 до 243.
-r АДРЕСА, --target-addr АДРЕСА
Цей параметр визначає адресу джерела пакету IPv6, який вбудований у файл
Повідомлення про помилку ICMPv6. Якщо не вказано, він встановлюється на ту саму адресу, що й
IPv6 Адреса призначення зовнішнього пакета.
При роботі в «режимі прослуховування» інструмент автоматично вбудовує фрагмент
отриманий пакет (якщо інше не зазначено опцією "-n"), а отже, IPv6
Адреса джерела вбудованого пакету IPv6 встановлюється відповідним чином.
-x АДРЕСА, --peer-addr АДРЕСА
Цей параметр визначає адресу призначення пакета IPv6, який вбудований
у повідомленні про помилку ICMPv6. Якщо не вказано, для нього встановлюється випадкове значення.
При роботі в «режимі прослуховування» інструмент автоматично вбудовує фрагмент
отриманий пакет (якщо інше не зазначено опцією "-n"), а отже, IPv6
Адреса призначення вбудованого пакету IPv6 встановлюється відповідним чином.
Примітка: оскільки очікується, що хост-жертва перевірить повідомлення про помилку ICMPv6
відповідає поточному екземпляру зв'язку, коли працює в "активному режимі",
для цього параметра слід встановити значення, яке відповідає поточному зв’язку
екземпляр
-o PORT, --цільовий порт PORT
Цей параметр визначає порт джерела пакету TCP або UDP, що міститься в файлі
Корисне навантаження ICMPv6. Якщо діапазон портів вказано у формі "-o LOWPORT:HIGHPORT", то
інструмент надішле одне повідомлення про помилку ICMPv6 для кожного порту в цьому діапазоні.
Примітка. Ця опція має сенс, лише якщо вказано «TCP» або «UDP» (з
опція "-p").
-a PORT, --рівноправний порт PORT
Цей параметр визначає порт призначення пакету TCP або UDP, що міститься в
корисне навантаження ICMPv6. Якщо діапазон портів вказано у формі "-o LOWPORT:HIGHPORT"
інструмент надішле одне повідомлення про помилку ICMPv6 для кожного порту в цьому діапазоні.
Примітка. Ця опція має сенс, лише якщо вказано «TCP» або «UDP» (з
опція "-p").
-X TCP_FLAGS, --tcp-прапори TCP_FLAGS
Цей параметр визначає прапори заголовка TCP, що міститься в корисному навантаженні ICMPv6.
Прапори вказуються як "F" (FIN), "S" (SYN), "R" (RST), "P" (PSH), "A" (ACK),
«U» (URG), «X» (без прапорів). Якщо не вказано, встановлюється лише біт "ACK".
Примітка. Ця опція має сенс, лише якщо вказано "TCP" (з "-p"
варіант).
-q SEQ_NUMBER, --tcp-seq SEQ_NUMBER
Цей параметр визначає порядковий номер заголовка TCP, що міститься в ICMPv6
Корисне навантаження. Якщо не вказано, порядковий номер буде рандомізовано.
Примітка. Ця опція має сенс, лише якщо вказано "TCP" (з "-p"
варіант).
-Q ACK_NUMBER, --tcp-ack ACK_NUMBER
Цей параметр визначає номер підтвердження заголовка TCP, що міститься в файлі
Корисне навантаження ICMPv6. Якщо не вказано, номер підтвердження буде рандомізовано.
Примітка. Ця опція має сенс, лише якщо вказано "TCP" (з "-p"
варіант).
-V URG_POINTER, --tcp-urg URG_POINTER
Цей параметр визначає терміновий покажчик заголовка TCP, що міститься в ICMPv6
Корисне навантаження. Якщо не вказано, терміновий покажчик встановлюється на 0.
Примітка. Ця опція має сенс, лише якщо вказано "TCP" (з "-p"
варіант).
-w TCP_WIN, --tcp-win TCP_WIN
Цей параметр визначає вікно заголовка TCP, що міститься в корисному навантаженні ICMPv6.
Якщо не вказано, вікно буде рандомізовано.
Примітка. Ця опція має сенс, лише якщо вказано "TCP" (з "-p"
варіант).
-j SRC_ADDR, --block-src SRC_ADDR
Цей параметр встановлює фільтр блокування для вхідних пакетів на основі їх IPv6
Адреса джерела. Він дозволяє специфікувати префікс IPv6 у формі «-j
префікс/префікс". Якщо довжина префікса не вказана, довжина префікса "/128"
вибрано (тобто параметр передбачає, що одна адреса IPv6, а не адреса
вказано префікс IPv6).
-k DST_ADDR, --block-dst DST_ADDR
Цей параметр встановлює фільтр блокування для вхідних повідомлень із запитом сусіда,
на основі їх адреси призначення IPv6. Він дозволяє специфікувати IPv6
префікс у формі «-k префікс/префікс». Якщо довжина префікса не вказана, a
вибирається довжина префікса "/128" (тобто параметр передбачає, що один IPv6
вказано адресу, а не префікс IPv6).
-J SRC_ADDR, --block-link-src SRC_ADDR
Цей параметр встановлює фільтр блоку для вхідних пакетів на основі їхнього рівня зв’язку
Адреса джерела. Після цього параметра має бути адреса канального рівня (наразі
підтримується лише Ethernet).
-K DST_ADDR, --block-link-dst DST_ADDR
Цей параметр встановлює фільтр блоку для вхідних пакетів на основі їхнього рівня зв’язку
Адреса призначення. Після цього параметра має бути адреса рівня посилання
(наразі підтримується лише Ethernet).
-b SRC_ADDR, --accept-src SRC_ADDR
Цей параметр встановлює фільтр прийняття для вхідних пакетів на основі їх IPv6
Адреса джерела. Він дозволяє специфікувати префікс IPv6 у формі «-b
префікс/префікс". Якщо довжина префікса не вказана, довжина префікса "/128"
вибрано (тобто параметр передбачає, що одна адреса IPv6, а не адреса
вказано префікс IPv6).
-g DST_ADDR, --accept-dst DST_ADDR
Цей параметр встановлює фільтр прийняття для вхідних пакетів на основі їх IPv6
Адреса призначення. Він дозволяє специфікувати префікс IPv6 у формі «-g
префікс/префікс". Якщо довжина префікса не вказана, довжина префікса "/128"
вибрано (тобто параметр передбачає, що одна адреса IPv6, а не адреса
вказано префікс IPv6).
-B SRC_ADDR, --accept-link-src SRC_ADDR
Цей параметр встановлює фільтр прийняття для вхідних повідомлень із запитом сусіда,
на основі їхньої адреси джерела на рівні посилання. Після цього параметра має бути а
адреса канального рівня (наразі підтримується лише Ethernet).
-G DST_ADDR, --accept-link-dst DST_ADDR
Цей параметр встановлює фільтр прийняття для вхідних пакетів на основі їх
Адреса призначення на рівні посилань. Після цього параметра має бути адреса канального рівня
(наразі підтримується лише Ethernet).
-f, --осудні фільтри
Цей параметр автоматично додає "фільтр блокування" для вихідної адреси IPv6
пакети.
Примітка: ця опція може бути бажаною, коли інструмент працює в «Режимі прослуховування» і
отримує вказівку прослухати пакети "ICMP6" або "IP6" (таким чином, можливо, уникнути пакетів
петлі).
-l, --петля
Цей параметр наказує інструменту icmp6 надсилати періодичні повідомлення про помилки ICMPv6 на адресу
вузол жертви. Кількість часу для паузи між надсиланням повідомлень про помилки ICMPv6 може
вказується за допомогою параметра "-z" і за замовчуванням становить 1 секунду. Зауважте, що це
параметр не може бути встановлений у поєднанні з опцією "-L" ("--listen").
-z, -- спати
Цей параметр визначає кількість часу для паузи між надсиланням помилки ICMPv6
повідомлення (коли встановлено параметр «--loop»). Якщо не вказано, за замовчуванням буде 1
другий
-L, --послухай
Це наказує інструменту icmp6 працювати в режимі «Прослуховування» (можливо, після
атакуючи певний вузол). Зауважте, що цей параметр не можна використовувати разом із
параметр "-l" ("--loop").
-v, -багатослівний
Ця опція вказує інструменту icmp6 бути детальним. Якщо параметр встановлено двічі,
інструмент «дуже багатослівний», і інструмент також повідомляє, які пакети були
прийняті або відхилені в результаті застосування зазначених фільтрів.
-h, --допомога
Роздрукуйте довідкову інформацію для icmp6 інструмент.
ПРИКЛАДИ
Наступні розділи ілюструють типові випадки використання icmp6 інструмент.
Приклад #1
# icmp6 -i eth0 -L -p TCP -v
Інструмент використовує мережевий інтерфейс "eth0" і працює в режимі "прослуховування" ("-L"
варіант). Кожне повідомлення про помилку ICMPv6 міститиме корисне навантаження ICMPv6 стільки байтів із файлу
захоплений пакет без перевищення мінімального IPv6 MTU (1280 байт). Інструмент роздрукує
детальна інформація про атаку (опція "-v").
Приклад #2
# icmp6 --icmp6-packet-too-big -p ICMP6 -d 2001:db8:10::1 --peer-addr 2001:db8:11::2 -m
1240 -в
Інструмент надішле повідомлення про помилку ICMPv6 Packet Too Big, яке оголошує MTU 1240
байтів. Повідомлення про помилку ICMPv6 буде надіслано на адресу 2001:db8:10::1. ICMPv6
повідомлення про помилку вбудує повідомлення ICMPv6 Echo Request з адресою джерела, встановленою на
"2001:db8:10::1" (тобто адреса призначення повідомлення про помилку) і пункт призначення
Адресу встановлено на "2001:db8:11::2) (параметр "--peer-addr"). Значення "Ідентифікатор" і
Поля "Порядковий номер" вбудованого повідомлення ICMPv6 Echo Request буде рандомізовано.
Інструмент надасть детальну інформацію про атаку (опція "-v").
Використовуйте icmp6 онлайн за допомогою служб onworks.net
