Este es el comando na6 que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
na6: una herramienta de evaluación de seguridad para vectores de ataque basada en ICMPv6 Neighbor Advertisement
la vida
SINOPSIS
na6 [-i INTERFAZ] [-s SRC_ADDR [/ LEN]] [-d DST_ADDR] [-S LINK_SRC_ADDR] [-y FRAG_SIZE] [-u
DST_OPT_HDR_SIZE] [-U DST_OPT_U_HDR_SIZE] [-H HBH_OPT_HDR_SIZE] [-D LINK-DST-ADDR] [-t
TARGET_ADDR [/ LEN]] [-r] [-c] [-o] [-E LINK_ADDR] [-e] [-j PREFIX [/ LEN]] [-k PREFIX [/ LEN]]
[-J LINK_ADDR] [-K LINK_ADDR] [-w PREFIX [/ LEN]] [-b PREFIX [/ LEN]] [-g PREFIX [/ LEN]] [-B
LINK_ADDR] [-G LINK_ADDR] [-W PREFIX [/ LEN]] [-F N_SOURCES] [-T N_TARGETS] [-L | -l] [-z]
[-v] [-V] [-h]
DESCRIPCIÓN
na6 permite la evaluación de las implementaciones de IPv6 con respecto a una variedad de ataques
vectores basados en mensajes de anuncios de vecinos ICMPv6. Es parte de SI6 Networks '
Kit de herramientas IPv6: un paquete de evaluación de seguridad para los protocolos IPv6.
Esta herramienta tiene dos modos de funcionamiento: activo y pasivo. En modo activo, la herramienta ataca
un objetivo específico, mientras que en modo pasivo la herramienta escucha el tráfico en la red local,
y lanza un ataque en respuesta a dicho tráfico. El modo activo se emplea si un
dirección de destino (dirección de destino IPv6 o dirección de destino Ethernet) y una
Se especifican las direcciones de destino. El modo pasivo se emplea si la opción "-L" (o su larga
contraparte "--escucha"). Si se establecen tanto un objetivo de ataque como la opción "-L",
El ataque se lanza contra el objetivo especificado, y luego la herramienta entra en modo pasivo para
responder a los mensajes entrantes de Solicitud de Vecino con Anuncio de Vecino (ataque)
paquetes.
La herramienta admite el filtrado de mensajes entrantes de solicitud de vecino en función de la
Dirección de origen Ethernet, Dirección de destino Ethernet, Dirección de origen IPv6,
Dirección de destino IPv6 y la dirección de destino de solicitud de vecino. Hay dos
tipos de filtros: "bloquear filtros" y "aceptar filtros". Si algún "filtro de bloque" es
especificado, y el mensaje de solicitud de vecino entrante coincide con cualquiera de esos filtros,
el mensaje se descarta (y por lo tanto no se envían anuncios de vecinos en respuesta). Si
se especifica cualquier "aceptar filtro", los mensajes entrantes de solicitud de vecino deben coincidir con el
filtros especificados para que la herramienta na6 responda con el anuncio de vecino
mensajes.
OPCIONES
na6 toma sus parámetros como opciones de línea de comandos. Cada una de las opciones se puede especificar
con un nombre corto (un carácter precedido por un guión, como por ejemplo "-i") o con
un nombre largo (una cadena precedida de dos guiones, como por ejemplo, "--interface").
Dependiendo de la cantidad de información (es decir, opciones) que se transmitirá al vecino
Anuncios, puede ser necesario que la herramienta na6 divida esa información en más
de un mensaje de Anuncio de Vecino. Además, si se indica a la herramienta que inunde el
víctima con anuncios de vecinos de diferentes fuentes (opción "--flood-sources"),
Es posible que sea necesario generar varios paquetes. na6 admite la fragmentación de IPv6, que puede ser
de uso si se necesita transmitir una gran cantidad de información dentro de un solo vecino
Mensaje publicitario. Sin embargo, la fragmentación de IPv6 no está habilitada de forma predeterminada y debe
habilitado explícitamente con la opción "-y".
-i INTERFAZ, --interfaz INTERFAZ
Esta opción especifica la interfaz de red que utilizará la herramienta. Si el
dirección de destino (opción "-d") es una dirección local de enlace, o la "escucha"
("-L") está seleccionado el modo, la interfaz debe especificarse explícitamente. La interfaz
también se puede especificar junto con una dirección de destino, con la opción "-d".
-s SRC_ADDR, --dirección-src SRC_ADDR
Esta opción especifica la dirección de origen IPv6 (o prefijo IPv6) que se utilizará para la
Dirección de origen de los paquetes de ataque. Si no se especifica, un enlace local aleatorio
La dirección unicast (fe80 :: / 64) está seleccionada.
Si se especifica la opción "-T" ("--flood-targets"), esta opción incluye un IPv6
prefijo. Consulte la descripción de la opción "-T" para obtener más información sobre cómo
La opción "-s" se procesa en ese caso específico.
-d Horario de verano_ADDR, --dst-dirección Horario de verano_ADDR
Esta opción especifica la dirección de destino IPv6 de la víctima. Si se deja
no especificado, pero se especifica la dirección de destino Ethernet, el "todos los nodos
La dirección "link-local multicast" (ff02 :: 1) se selecciona como destino IPv6
Dirección.
Cuando se opera en modo pasivo (opción "-L"), la dirección de destino IPv6 es
seleccionado de acuerdo con la dirección de origen IPv6 de la solicitud de vecino entrante
mensaje. Si la dirección de origen IPv6 de la solicitud de vecino es la no especificada
dirección (: :), la dirección de "multidifusión local de enlace de todos los nodos" (ff02 :: 1) se utiliza como
Dirección de destino IPv6. De lo contrario, la dirección de origen IPv6 de la entrada
El mensaje de solicitud de vecino se utiliza como la dirección de destino IPv6 del
Mensajes salientes de Anuncio de Vecino (ataque).
- límite de salto, -A
Esta opción especifica el límite de saltos que se utilizará para el anuncio de vecino
mensajes. El valor predeterminado es 255. Tenga en cuenta que los nodos IPv6 deben comprobar que
El límite de saltos de los mensajes de anuncios de vecinos entrantes es 255. Por lo tanto, este
La opción solo es útil para evaluar si una implementación de IPv6 no logra hacer cumplir la
cheque antes mencionado.
-y TAMAÑO, --frag-hdr TAMAÑO
Esta opción especifica que el paquete resultante debe estar fragmentado. El fragmento
El tamaño debe especificarse como argumento para esta opción.
-u HDR_SIZE, --dst-opt-hdr HDR_SIZE
Esta opción especifica que se incluirá un encabezado de Opciones de destino en el
paquete resultante. El tamaño del encabezado de extensión debe especificarse como un argumento para
esta opción (el encabezado se llena con opciones de relleno). Destino múltiple
Los encabezados de las opciones se pueden especificar mediante múltiples opciones "-u".
-U HDR_SIZE, --dst-opt-u-hdr HDR_SIZE
Esta opción especifica un encabezado de Opciones de destino que se incluirá en el
"parte no fragmentable" del paquete resultante. El tamaño del encabezado debe especificarse como
un argumento para esta opción (el encabezado está lleno de opciones de relleno). Múltiple
Los encabezados de Opciones de destino se pueden especificar mediante múltiples opciones "-U".
Esta opción solo es válida si se especifica la opción "-y" (ya que el concepto de
"parte no fragmentable" sólo tiene sentido cuando se emplea la fragmentación).
-H HDR_SIZE, --hbh-opt-hdr HDR_SIZE
Esta opción especifica que se incluirá un encabezado de Opciones Hop-by-Hop en el
paquete resultante. El tamaño del encabezado debe especificarse como argumento para esta opción.
(el encabezado está lleno de opciones de relleno). Múltiples encabezados de opciones Hop-by-Hop
puede especificarse mediante múltiples opciones "-H".
-S SRC_LINK_ADDR, --dirección-enlace-src SRC_LINK_ADDR
Esta opción especifica la dirección de origen de la capa de enlace del anuncio de vecino
mensajes (esta opción solo es válida para interfaces Ethernet). Si no se especifica,
la dirección de origen de la capa de enlace es aleatoria.
Cuando se opera en modo pasivo, la dirección de origen de la capa de enlace se selecciona de acuerdo con
a la dirección de destino IPv6 del mensaje de solicitud de vecino entrante. Si
la dirección de destino IPv6 del mensaje de solicitud de vecino entrante es una
dirección de multidifusión (generalmente una dirección de multidifusión de nodo solicitado), la capa de enlace
La dirección de origen se establece en la dirección especificada por la opción "-S" (o en una
dirección si la opción "-S" se dejó sin especificar). Si la dirección de destino IPv6
de la solicitud de vecino entrante no es una dirección de multidifusión (es decir, es una
dirección unicast), la dirección de origen de la capa de enlace se establece en el destino de Ethernet
Dirección del mensaje de solicitud de vecino entrante.
-D DST_LINK_ADDR, --dst-dirección-enlace DST_LINK_ADDR
Esta opción especifica la dirección de destino de la capa de enlace del vecino
Mensajes publicitarios (esta opción solo es válida para interfaces Ethernet). Si se deja
sin especificar, se establece en la dirección de "multidifusión local de enlace de todos los nodos" (ff02 :: 1).
Cuando se opera en modo pasivo, la dirección de destino de la capa de enlace se establece de acuerdo con
a la dirección de origen IPv6 del mensaje de solicitud de vecino entrante. Si el
La dirección de origen IPv6 del mensaje de solicitud de vecino entrante es la
dirección no especificada (: :), la dirección de destino de la capa de enlace se establece en
"33: 33: 00: 00: 00: 01" (la dirección de multidifusión Ethernet correspondiente a IPv6 "all-
nodos link-local multicast "dirección). De lo contrario, la dirección de destino de la capa de enlace
se establece en la dirección de origen de la capa de enlace de la solicitud de vecino entrante
mensaje.
- enrutador, -r
Esta opción indica a la herramienta na6 que establezca el bit "R" (enrutador) en el vecino
Mensajes publicitarios que envía. El bit "R" indica que el nodo que envía
el mensaje es un enrutador. Si no se especifica, el bit "R" no se establece.
- solicitado, -c
Esta opción indica a la herramienta na6 que establezca el bit "S" ("Solicitado") en el vecino
Mensajes publicitarios que envía. Cuando se opera en modo pasivo (opción "-L"),
el indicador "Solicitado" se fuerza a 1 en todas las respuestas enviadas a IPv6 de unidifusión
Direcciones.
- anular, -o
Esta opción indica a la herramienta na6 que establezca el bit 'O' ("Override") en el vecino
Mensajes publicitarios que envía. Si esta opción no se especifica, la 'O'
el bit no está establecido.
--objetivo, -t
Esta opción especifica la dirección de destino IPv6 del anuncio de vecino
mensajes.
Si se especifica la opción "-T" ("--flood-targets"), esta opción especifica un IPv6
prefijo en la forma "-t prefijo / prefixlen". Ver la descripción de la opción "-T"
para obtener más información sobre cómo se procesa la opción "-t" en ese caso específico.
--objetivo-lla-opt, -E
Esta opción especifica el contenido de una opción de dirección de la capa de enlace de destino que se
incluido en los mensajes de anuncios de vecinos. Si se especifica una sola opción,
se incluye en todos los mensajes de anuncios de vecinos salientes. Si mas de
se especifica una dirección de capa de enlace de destino (mediante múltiples opciones "-E"), y
todas las opciones resultantes no se pueden transmitir en un solo anuncio de vecino
mensaje, se enviarán varios anuncios de vecinos según sea necesario.
--agregar-tlla-opt, -e
Esta opción indica a la herramienta na6 que incluya una opción de dirección de capa de enlace de destino en
los mensajes de anuncios de vecinos que envía. La dirección de la capa de enlace de destino
incluida en la opción es la misma que la dirección de origen Ethernet utilizada para la
mensajes de anuncios de vecinos salientes. La diferencia entre esta opción y
la opción "-E" es que la opción "-e" no especifica el valor real de la
opción, pero solo indica a la herramienta que incluya una opción de dirección de capa de enlace de destino
(el valor real de la opción se selecciona como se explicó anteriormente).
-j SRC_ADDR, --bloque-src SRC_ADDR
Esta opción establece un filtro de bloque para los paquetes entrantes, según su IPv6
Dirección de la fuente. Permite la especificación de un prefijo IPv6 con el formato "-j
prefix / prefixlen ". Si no se especifica la longitud del prefijo, una longitud de prefijo de" / 128 "
está seleccionada (es decir, la opción asume que una sola dirección IPv6, en lugar de una
Prefijo IPv6, se ha especificado).
-k Horario de verano_ADDR, --bloque-dst Horario de verano_ADDR
Esta opción establece un filtro de bloque para los mensajes entrantes de Solicitud de Vecino,
según su dirección de destino IPv6. Permite la especificación de un IPv6
prefijo en la forma "-k prefijo / prefijolen". Si no se especifica la longitud del prefijo,
se selecciona una longitud de prefijo de "/ 128" (es decir, la opción asume que un solo IPv6
se ha especificado una dirección, en lugar de un prefijo IPv6).
-J SRC_ADDR, --block-enlace-src SRC_ADDR
Esta opción establece un filtro de bloque para los paquetes entrantes, según su capa de enlace
Dirección de la fuente. La opción debe ir seguida de una dirección de capa de enlace (esta opción es
solo válido para interfaces Ethernet).
-K Horario de verano_ADDR, --block-enlace-dst Horario de verano_ADDR
Esta opción establece un filtro de bloque para los paquetes entrantes, según su capa de enlace
Dirección de destino. La opción debe ir seguida de una dirección de capa de enlace (esta
opción solo es válida para interfaces Ethernet).
-b SRC_ADDR, --aceptar-src SRC_ADDR
Esta opción establece un filtro de aceptación para los paquetes entrantes, según su IPv6.
Dirección de la fuente. Permite la especificación de un prefijo IPv6 con el formato "-b
prefix / prefixlen ". Si no se especifica la longitud del prefijo, una longitud de prefijo de" / 128 "
está seleccionada (es decir, la opción asume que una sola dirección IPv6, en lugar de una
Prefijo IPv6, se ha especificado).
-g Horario de verano_ADDR, --aceptar-dst Horario de verano_ADDR
Esta opción establece un filtro de aceptación para los paquetes entrantes, según su IPv6.
Dirección de destino. Permite la especificación de un prefijo IPv6 en la forma "-g
prefix / prefixlen ". Si no se especifica la longitud del prefijo, una longitud de prefijo de" / 128 "
está seleccionada (es decir, la opción asume que una sola dirección IPv6, en lugar de una
Prefijo IPv6, se ha especificado).
-B SRC_ADDR, --aceptar-enlace-src SRC_ADDR
Esta opción establece un filtro de aceptación para los mensajes entrantes de Solicitud de vecinos,
según su dirección de origen de la capa de enlace. La opción debe ir seguida de un
dirección de capa de enlace (esta opción solo es válida para interfaces Ethernet).
-G Horario de verano_ADDR, --aceptar-enlace-dst Horario de verano_ADDR
Esta opción establece un filtro de aceptación para los paquetes entrantes, según su
Dirección de destino de la capa de enlace. La opción debe ir seguida de una dirección de capa de enlace
(esta opción solo es válida para interfaces Ethernet).
--bloque-objetivo, -w
Esta opción establece un filtro de bloque para los mensajes entrantes de Solicitud de Vecino,
según su dirección de destino. Permite la especificación de un prefijo IPv6 en el
forma "-w prefijo / prefixlen". Si no se especifica la longitud del prefijo, una longitud de prefijo
de "/ 128" está seleccionado (es decir, la opción asume que una sola dirección IPv6, en lugar
que un prefijo IPv6, se ha especificado).
--aceptar-objetivo, -W
Esta opción establece un filtro de aceptación para los mensajes entrantes de Solicitud de vecinos,
según su dirección de destino. Permite la especificación de un prefijo IPv6 en el
forma "-W prefijo / prefixlen". Si no se especifica la longitud del prefijo, una longitud de prefijo
de "/ 128" está seleccionado (es decir, la opción asume que una sola dirección IPv6, en lugar
que un prefijo IPv6, se ha especificado).
--objetivos-de-inundaciones, -T
Esta opción indica a la herramienta na6 que envíe anuncios de vecinos para múltiples
Direcciones de destino. El número de direcciones de destino diferentes se especifica como "-T
número ". La dirección de destino de cada paquete se selecciona aleatoriamente del prefijo
fe80 :: / 64, a menos que se haya especificado un prefijo diferente mediante la "-t"
opción. Se establece la dirección de origen IPv6 de cada mensaje de anuncio de vecino
según la dirección IPv6 o el prefijo especificado con la opción "-s", y
por defecto es una dirección de unidifusión local de enlace aleatorio (fe80 :: / 64) si la opción "-s" es
dejado sin especificar.
--fuentes de inundación, -F
Esta opción indica a la herramienta que envíe varios mensajes de anuncios de vecinos.
con diferentes direcciones de origen. El número de fuentes diferentes se especifica como
"-Número F". La dirección de origen de cada anuncio vecino se selecciona aleatoriamente
del prefijo especificado por la opción "-s". Si se especifica la opción "-F" pero
la opción "-s" no se especifica, la dirección de origen de los paquetes es aleatoria
seleccionado del prefijo fe80 :: / 64 (unidifusión local de enlace). se debe notar que
Los hosts deben descartar los mensajes de anuncio de enrutador que no tienen un
dirección de unidifusión local de enlace como la dirección de origen.
- bucle, -l
Esta opción indica a la herramienta na6 que envíe anuncios de vecinos periódicos al
nodo víctima. La cantidad de tiempo para hacer una pausa entre el envío de anuncios de vecinos
se puede especificar mediante la opción "-z" y el valor predeterminado es 1 segundo. Tenga en cuenta que
esta opción no se puede configurar junto con la opción "-L" ("--escuchar").
--dormir, -z
Esta opción especifica la cantidad de tiempo para hacer una pausa entre el envío de vecino
Solicitaciones (cuando se establece la opción "--loop"). Si no se especifica, se predetermina
a 1 segundo.
--escuchar, -L
Esto indica a la herramienta na6 que opere en modo pasivo (posiblemente después de atacar un
nodo dado, si se especificaron las opciones '-d' o '-D'). Tenga en cuenta que esta opción
no se puede utilizar junto con la opción "-l" ("--loop").
--detallado, -v
Esta opción indica a la herramienta na6 que sea detallada. Cuando la opción se establece dos veces,
la herramienta es "muy detallada", y la herramienta también informa qué paquetes se han
aceptado o descartado como resultado de aplicar los filtros especificados.
--ayuda, -h
Imprima información de ayuda para la herramienta na6.
EJEMPLOS
Las siguientes secciones ilustran casos de uso típicos del na6 .
Ejemplo #1
# na6 -i eth0 -d fe80 :: 1 -t 2001: db8 :: 1 -c -o -e
Utilice la interfaz de red "eth0" para enviar un anuncio de vecino mediante un enlace aleatorio.
Dirección de origen IPv6 de unidifusión local y una dirección de origen Ethernet aleatoria, al IPv6
La dirección de destino ffe80 :: 1 y la dirección de destino Ethernet 33: 33: 00: 00: 00: 01
(seleccionado por defecto). El destino del anuncio vecino es 2001: db8 :: 1, y el
El mensaje tiene configurados los indicadores "Anular" y "Solicitado". El anuncio del vecino
también incluye una opción de dirección de capa de enlace de destino que contiene la misma dirección Ethernet
como el utilizado para la dirección de origen Ethernet del paquete.
Ejemplo #2
# na6 -i eth0 -j fe80 :: 1 -j 2001: db8 :: / 32 -W fe80 :: / 64 -c -o -e -L -v -v
Escuche los mensajes entrantes de Solicitud de Vecino en la interfaz "eth0". Descartar esos
mensajes que tienen una dirección de origen IPv6 igual a fe80 :: 1, una dirección de origen IPv6 que
pertenece al prefijo 2001: db8 :: / 32, o una dirección de destino que no pertenece al
prefijo fe80 :: / 64. Responder (a aquellos mensajes que se acepten) con un Vecino
Anuncio con una dirección de origen Ethernet aleatoria y un enlace local aleatorio
Dirección de origen IPv6 de unidifusión (a menos que la dirección de destino de la solicitud de vecino
era una dirección de unidifusión), la dirección de destino IPv6 establecida en la dirección de origen del
mensaje NS entrante (a menos que sea la dirección no especificada), la Dirección de destino establecida en el
mismo valor que la dirección de destino del NS entrante, y "Solicitado" y "Anular"
banderas establecidas. Sea muy detallado (opciones "-v -v").
Use na6 en línea usando los servicios de onworks.net
