Il s'agit de la commande na6 qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
na6 - Un outil d'évaluation de la sécurité pour les vecteurs d'attaque basé sur ICMPv6 Neighbor Advertisement
messages
SYNOPSIS
na6 [-i INTERFACE] [-s SRC_ADDR[/LEN]] [-d DST_ADDR] [-S LINK_SRC_ADDR] [-y FRAG_SIZE] [-u
DST_OPT_HDR_SIZE] [-U DST_OPT_U_HDR_SIZE] [-H HBH_OPT_HDR_SIZE] [-D LINK-DST-ADDR] [-t
TARGET_ADDR[/LEN]] [-r] [-c] [-o] [-E LINK_ADDR] [-e] [-j PREFIX[/LEN]] [-k PREFIX[/LEN]]
[-J LINK_ADDR] [-K LINK_ADDR] [-w PREFIX[/LEN]] [-b PREFIX[/LEN]] [-g PREFIX[/LEN]] [-B
LINK_ADDR] [-G LINK_ADDR] [-W PREFIX[/LEN]] [-F N_SOURCES] [-T N_TARGETS] [-L | -l] [-z]
[-v] [-V] [-h]
DESCRIPTION
na6 permet l'évaluation des implémentations IPv6 par rapport à une variété d'attaques
vecteurs basés sur des messages d'annonce de voisin ICMPv6. Il fait partie des réseaux SI6
Boîte à outils IPv6 : une suite d'évaluation de la sécurité pour les protocoles IPv6.
Cet outil a deux modes de fonctionnement : actif et passif. En mode actif, l'outil attaque
une cible précise, tandis qu'en mode passif l'outil écoute le trafic sur le réseau local,
et lance une attaque en réponse à ce trafic. Le mode actif est utilisé si un
adresse de destination (adresse de destination IPv6 ou adresse de destination Ethernet) et une
L'adresse cible est spécifiée. Le mode passif est utilisé si l'option "-L" (ou son long
homologue "--listen") est défini. Si à la fois une cible d'attaque et l'option "-L" sont définies, le
attaque est lancée contre la cible spécifiée, puis l'outil passe en mode passif pour
répondre aux messages de sollicitation de voisin entrants avec la publicité de voisin (attaque)
paquets.
L'outil prend en charge le filtrage des messages de sollicitation de voisin entrants en fonction de la
l'adresse source Ethernet, l'adresse de destination Ethernet, l'adresse source IPv6, l'adresse
Adresse de destination IPv6 et adresse cible de sollicitation de voisin. Il y en a deux
types de filtres : "bloquer les filtres" et "accepter les filtres". Si un "filtre de blocage" est
spécifié, et le message de sollicitation de voisin entrant correspond à l'un de ces filtres,
le message est rejeté (et donc aucune annonce de voisin n'est envoyée en réponse). Si
tout "filtre d'acceptation" est spécifié, les messages de sollicitation de voisin entrants doivent correspondre au
filtres spécifiés pour que l'outil na6 réponde avec Neighbor Advertisement
des messages.
OPTIONS
na6 prend ses paramètres en tant qu'options de ligne de commande. Chacune des options peut être spécifiée
avec un nom court (un caractère précédé du trait d'union, comme par exemple "-i") ou avec
un nom long (une chaîne précédée de deux tirets, comme par exemple "--interface").
Selon la quantité d'informations (c'est-à-dire les options) à transmettre au voisin
publicités, il peut être nécessaire que l'outil na6 divise ces informations en plusieurs
plus d'un message d'annonce de voisin. De plus, si l'outil reçoit l'instruction d'inonder le
victime avec des publicités de voisins provenant de différentes sources (option "--flood-sources"),
il peut être nécessaire de générer plusieurs paquets. na6 prend en charge la fragmentation IPv6, qui peut être
d'utilisation si une grande quantité d'informations doit être transmise au sein d'un seul voisin
Message publicitaire. Cependant, la fragmentation IPv6 n'est pas activée par défaut et doit être
explicitement activé avec l'option "-y".
-i INTERFACE, --interface INTERFACE
Cette option spécifie l'interface réseau que l'outil utilisera. Si la
l'adresse de destination (option "-d") est une adresse lien-local, ou l'"écoute"
("-L") est sélectionné, l'interface doit être explicitement spécifiée. L'interface
peut également être spécifié avec une adresse de destination, avec l'option "-d".
-s SRC_ADDR, --src-adresse SRC_ADDR
Cette option spécifie l'adresse source IPv6 (ou le préfixe IPv6) à utiliser pour le
Adresse source des paquets d'attaque. S'il n'est pas spécifié, un lien local aléatoire
l'adresse de monodiffusion (fe80::/64) est sélectionnée.
Si l'option "-T" ("--flood-targets") est spécifiée, cette option inclut un IPv6
préfixe. Voir la description de l'option "-T" pour plus d'informations sur la façon dont le
L'option "-s" est traitée dans ce cas spécifique.
-d DST_ADDR, --adresse-dst DST_ADDR
Cette option spécifie l'adresse de destination IPv6 de la victime. Si laissé
non spécifié, mais l'adresse de destination Ethernet est spécifiée, le "tous les nœuds
l'adresse link-local multicast" (ff02::1) est sélectionnée comme destination IPv6
Adresse.
Lors d'un fonctionnement en mode passif (option "-L"), l'adresse de destination IPv6 est
sélectionné en fonction de l'adresse source IPv6 de la sollicitation de voisin entrante
un message. Si l'adresse source IPv6 de la sollicitation de voisin est l'adresse non spécifiée
(::), l'adresse "all-nodes link-local multicast" (ff02::1) est utilisée comme
Adresse de destination IPv6. Sinon, l'adresse source IPv6 du
Le message de sollicitation de voisin est utilisé comme adresse de destination IPv6 du
messages sortants de publicité de voisin (attaque).
--hop-limite, -A
Cette option spécifie la limite de saut à utiliser pour l'annonce de voisin
messages. La valeur par défaut est 255. Notez que les nœuds IPv6 doivent vérifier que le
La limite de saut des messages d'annonce de voisin entrants est de 255. Par conséquent, cette
L'option n'est utile que pour évaluer si une implémentation IPv6 ne parvient pas à appliquer la
vérification susmentionnée.
-y TAILLE, --frag-hdr TAILLE
Cette option spécifie que le paquet résultant doit être fragmenté. Le fragment
size doit être spécifié comme argument de cette option.
-u HDR_SIZE, --dst-opt-hdr HDR_SIZE
Cette option spécifie qu'un en-tête Options de destination doit être inclus dans le
paquet résultant. La taille de l'en-tête d'extension doit être spécifiée comme argument pour
cette option (l'en-tête est rempli d'options de remplissage). Destinations multiples
Les en-têtes d'options peuvent être spécifiés au moyen de plusieurs options "-u".
-U HDR_SIZE, --dst-opt-u-hdr HDR_SIZE
Cette option spécifie un en-tête Options de destination à inclure dans le
"partie non fragmentable" du paquet résultant. La taille de l'en-tête doit être spécifiée comme
un argument à cette option (l'en-tête est rempli d'options de remplissage). Plusieurs
Les en-têtes d'options de destination peuvent être spécifiés au moyen de plusieurs options "-U".
Cette option n'est valide que si l'option "-y" est spécifiée (comme le concept de
« partie non fragmentable » n'a de sens que lorsque la fragmentation est utilisée).
-H HDR_SIZE, --hbh-opt-hdr HDR_SIZE
Cette option spécifie qu'un en-tête Hop-by-Hop Options doit être inclus dans le
paquet résultant. La taille de l'en-tête doit être spécifiée comme argument de cette option
(l'en-tête est rempli d'options de remplissage). Plusieurs en-têtes d'options de saut par saut
peut être spécifié au moyen de plusieurs options "-H".
-S SRC_LINK_ADDR, --src-lien-adresse SRC_LINK_ADDR
Cette option spécifie l'adresse source de la couche liaison de l'annonce de voisin
messages (cette option n'est valable que pour les interfaces Ethernet). S'il n'est pas spécifié,
l'adresse source de la couche liaison est aléatoire.
Lors du fonctionnement en mode passif, l'adresse source de la couche liaison est sélectionnée en fonction
à l'adresse de destination IPv6 du message de sollicitation de voisin entrant. Si
l'adresse de destination IPv6 du message de sollicitation de voisin entrant est une
adresse de multidiffusion (généralement une adresse de multidiffusion de nœud sollicité), la couche liaison
L'adresse source est définie sur l'adresse spécifiée par l'option "-S" (ou sur une
adresse si l'option "-S" n'a pas été spécifiée). Si l'adresse de destination IPv6
de la sollicitation de voisin entrante n'est pas une adresse de multidiffusion (c'est-à-dire qu'il s'agit d'une
adresse de monodiffusion), l'adresse source de la couche liaison est définie sur la destination Ethernet
Adresse du message de sollicitation de voisin entrant.
-D DST_LINK_ADDR, --dst-link-adresse DST_LINK_ADDR
Cette option spécifie l'adresse de destination de la couche liaison du voisin
Messages publicitaires (cette option n'est valable que pour les interfaces Ethernet). Si laissé
non spécifié, il est défini sur l'adresse "tous les nœuds link-local multicast" (ff02::1).
Lors du fonctionnement en mode passif, l'adresse de destination de la couche liaison est définie en fonction
à l'adresse source IPv6 du message de sollicitation de voisin entrant. Si la
L'adresse source IPv6 du message de sollicitation de voisin entrant est la
adresse non spécifiée (::), l'adresse de destination de la couche liaison est définie sur
"33:33:00:00:00:01" (l'adresse de multidiffusion Ethernet correspondant à l'IPv6 "all-
nodes link-local multicast"). Sinon, l'adresse de destination de la couche liaison
est défini sur l'adresse source de la couche liaison de la sollicitation de voisin entrante
par voie électronique.
--routeur, -r
Cette option demande à l'outil na6 de définir le bit "R" (routeur) dans le voisin
Messages publicitaires qu'il envoie. Le bit "R" indique que le nœud envoyant
le message est un routeur. S'il n'est pas spécifié, le bit "R" n'est pas défini.
--sollicité, -c
Cette option demande à l'outil na6 de définir le bit "S" ("Sollicité") dans le voisin
Messages publicitaires qu'il envoie. Lors d'un fonctionnement en mode passif (option "-L"),
le drapeau "Sollicité" est forcé à 1 dans toutes les réponses envoyées en monodiffusion IPv6
Adresses.
--override, -o
Cette option demande à l'outil na6 de définir le bit « O » (« Override ») dans le voisin
Messages publicitaires qu'il envoie. Si cette option n'est pas spécifiée, le 'O'
le bit n'est pas défini.
--cible, -t
Cette option spécifie l'adresse cible IPv6 de l'annonce de voisin
des messages.
Si l'option "-T" ("--flood-targets") est spécifiée, cette option spécifie un IPv6
préfixe sous la forme "-t prefix/prefixlen". Voir la description de l'option "-T"
pour plus d'informations sur la façon dont l'option "-t" est traitée dans ce cas spécifique.
--target-lla-opt, -E
Cette option spécifie le contenu d'une option d'adresse de couche liaison cible à
inclus dans les messages de publicité de voisin. Si une seule option est spécifiée,
il est inclus dans tous les messages d'annonce de voisin sortants. Si plus de
une adresse cible de couche liaison est spécifiée (au moyen de plusieurs options "-E"), et
toutes les options résultantes ne peuvent pas être transmises dans une seule publicité de voisin
message, plusieurs annonces de voisins seront envoyées au besoin.
--add-tlla-opt, -e
Cette option indique à l'outil na6 d'inclure une option d'adresse de couche de liaison cible dans
les messages de publicité de voisin qu'il envoie. L'adresse cible de la couche liaison
inclus dans l'option est le même que l'adresse source Ethernet utilisée pour le
messages d'annonces de voisins sortants. La différence entre cette option et
l'option "-E" est que l'option "-e" ne spécifie pas la valeur réelle du
option, mais demande simplement à l'outil d'inclure une option d'adresse de couche de liens cible
(la valeur réelle de l'option est sélectionnée comme expliqué précédemment).
-j SRC_ADDR, --block-src SRC_ADDR
Cette option définit un filtre de blocage pour les paquets entrants, en fonction de leur IPv6
Adresse source. Il permet de spécifier un préfixe IPv6 sous la forme "-j
prefix/prefixlen". Si la longueur du préfixe n'est pas spécifiée, une longueur de préfixe de "/128"
est sélectionnée (c'est-à-dire que l'option suppose qu'une seule adresse IPv6, plutôt qu'une
préfixe IPv6, a été spécifié).
-k DST_ADDR, --block-dst DST_ADDR
Cette option définit un filtre de blocage pour les messages de sollicitation de voisin entrants,
en fonction de leur adresse de destination IPv6. Il permet la spécification d'un IPv6
préfixe sous la forme "-k prefix/prefixlen". Si la longueur du préfixe n'est pas spécifiée, un
la longueur de préfixe "/128" est sélectionnée (c'est-à-dire que l'option suppose qu'un seul IPv6
adresse, plutôt qu'un préfixe IPv6, a été spécifié).
-J SRC_ADDR, --block-link-src SRC_ADDR
Cette option définit un filtre de bloc pour les paquets entrants, en fonction de leur couche de liaison
Adresse source. L'option doit être suivie d'une adresse de couche liaison (cette option est
valable uniquement pour les interfaces Ethernet).
-K DST_ADDR, --block-link-dst DST_ADDR
Cette option définit un filtre de bloc pour les paquets entrants, en fonction de leur couche de liaison
Adresse de destination. L'option doit être suivie d'une adresse de couche liaison (cette
l'option n'est valable que pour les interfaces Ethernet).
-b SRC_ADDR, --accepter-src SRC_ADDR
Cette option définit un filtre d'acceptation pour les paquets entrants, en fonction de leur IPv6
Adresse source. Il permet de spécifier un préfixe IPv6 sous la forme "-b
prefix/prefixlen". Si la longueur du préfixe n'est pas spécifiée, une longueur de préfixe de "/128"
est sélectionnée (c'est-à-dire que l'option suppose qu'une seule adresse IPv6, plutôt qu'une
préfixe IPv6, a été spécifié).
-g DST_ADDR, --accepter-heure d'été DST_ADDR
Cette option définit un filtre d'acceptation pour les paquets entrants, en fonction de leur IPv6
Adresse de destination. Il permet la spécification d'un préfixe IPv6 sous la forme "-g
prefix/prefixlen". Si la longueur du préfixe n'est pas spécifiée, une longueur de préfixe de "/128"
est sélectionnée (c'est-à-dire que l'option suppose qu'une seule adresse IPv6, plutôt qu'une
préfixe IPv6, a été spécifié).
-B SRC_ADDR, --accepter-lien-src SRC_ADDR
Cette option définit un filtre d'acceptation pour les messages de sollicitation de voisin entrants,
en fonction de leur adresse source de couche liaison. L'option doit être suivie d'un
adresse de couche liaison (cette option n'est valable que pour les interfaces Ethernet).
-G DST_ADDR, --accepter-lien-dst DST_ADDR
Cette option définit un filtre d'acceptation pour les paquets entrants, en fonction de leur
Adresse de destination de la couche liaison. L'option doit être suivie d'une adresse de couche liaison
(cette option n'est valable que pour les interfaces Ethernet).
--block-cible, -w
Cette option définit un filtre de blocage pour les messages de sollicitation de voisin entrants,
en fonction de leur adresse cible. Il permet la spécification d'un préfixe IPv6 dans le
forme "-w préfixe/préfixe". Si la longueur du préfixe n'est pas spécifiée, une longueur de préfixe
de "/128" est sélectionné (c'est-à-dire que l'option suppose qu'une seule adresse IPv6, plutôt
qu'un préfixe IPv6, a été spécifié).
--accept-cible, -W
Cette option définit un filtre d'acceptation pour les messages de sollicitation de voisin entrants,
en fonction de leur adresse cible. Il permet la spécification d'un préfixe IPv6 dans le
forme "-W préfixe/préfixe". Si la longueur du préfixe n'est pas spécifiée, une longueur de préfixe
de "/128" est sélectionné (c'est-à-dire que l'option suppose qu'une seule adresse IPv6, plutôt
qu'un préfixe IPv6, a été spécifié).
--flood-cibles, -T
Cette option demande à l'outil na6 d'envoyer des annonces de voisins pour plusieurs
Adresses cibles. Le nombre d'adresses cibles différentes est spécifié comme "-T
nombre". L'adresse cible de chaque paquet est sélectionnée au hasard à partir du préfixe
fe80::/64, sauf si un préfixe différent a été spécifié au moyen du "-t"
option. L'adresse source IPv6 de chaque message d'annonce de voisin est définie
selon l'adresse ou le préfixe IPv6 spécifié avec l'option "-s", et
par défaut une adresse unicast lien-local aléatoire (fe80::/64) si l'option "-s" est
laissé non spécifié.
--sources-d'inondation, -F
Cette option demande à l'outil d'envoyer plusieurs messages de publicité de voisin
avec différentes adresses source. Le nombre de sources différentes est spécifié comme
"-F numéro". L'adresse source de chaque annonce de voisin est sélectionnée au hasard
à partir du préfixe spécifié par l'option "-s". Si l'option "-F" est spécifiée mais
l'option "-s" n'est pas spécifiée, l'adresse source des paquets est aléatoire
sélectionné à partir du préfixe fe80::/64 (unicast lien-local). Il faut noter que
les hôtes sont tenus de rejeter les messages d'annonce de routeur qui n'ont pas de
adresse unicast lien-local comme adresse source.
--boucle, -l
Cette option demande à l'outil na6 d'envoyer des annonces de voisins périodiques au
nœud victime. La durée de pause entre l'envoi d'annonces de voisins
peut être spécifié au moyen de l'option "-z", et est par défaut de 1 seconde. Noter que
cette option ne peut pas être définie en conjonction avec l'option "-L" ("--listen").
--sommeil, -z
Cette option spécifie la durée de pause entre l'envoi de Neighbor
Sollicitations (lorsque l'option "--loop" est définie). S'il n'est pas spécifié, il est par défaut
à 1 seconde.
--écouter, -L
Cela indique à l'outil na6 de fonctionner en mode passif (éventuellement après avoir attaqué un
nœud donné, si les options '-d' ou '-D' ont été spécifiées). Notez que cette option
ne peut pas être utilisé avec l'option "-l" ("--loop").
--verbeux, -v
Cette option demande à l'outil na6 d'être détaillé. Lorsque l'option est définie deux fois,
l'outil est "très détaillé", et l'outil informe également quels paquets ont été
acceptés ou rejetés suite à l'application des filtres spécifiés.
--aide, -h
Imprimez les informations d'aide de l'outil na6.
EXEMPLES
Les sections suivantes illustrent des cas d'utilisation typiques du na6 outil.
Exemple #1
# na6 -i eth0 -d fe80::1 -t 2001:db8::1 -c -o -e
Utilisez l'interface réseau "eth0" pour envoyer une annonce de voisin en utilisant un lien aléatoire-
Adresse source IPv6 de monodiffusion locale et une adresse source Ethernet aléatoire, vers l'IPv6
Adresse de destination ffe80::1 et adresse de destination Ethernet 33:33:00:00:00:01:XNUMX
(sélectionné par défaut). La cible de la publicité de voisin est 2001:db8::1, et le
message a à la fois les drapeaux « Override » et « Sollicité » définis. La publicité du voisin
inclut également une option d'adresse de couche de liaison cible qui contient la même adresse Ethernet
comme celle utilisée pour l'adresse source Ethernet du paquet.
Exemple #2
# na6 -i eth0 -j fe80::1 -j 2001:db8::/32 -W fe80::/64 -c -o -e -L -v -v
Écoutez les messages de sollicitation de voisin entrants sur l'interface "eth0". Jetez ces
messages qui ont une adresse source IPv6 égale à fe80::1, une adresse source IPv6 qui
appartient au préfixe 2001:db8::/32, ou une adresse cible qui n'appartient pas au
préfixe fe80::/64. Répondre (aux messages acceptés) avec un voisin
Publicité avec une adresse source Ethernet aléatoire et un lien local aléatoire
Adresse source IPv6 monodiffusion (à moins que l'adresse de destination de la sollicitation de voisin
était une adresse de monodiffusion), l'adresse de destination IPv6 définie sur l'adresse source du
message NS entrant (à moins qu'il ne s'agisse de l'adresse non spécifiée), l'adresse cible définie sur le
même valeur que l'adresse cible du NS entrant, et le "Sollicité" et "Override"
ensemble de drapeaux. Soyez très verbeux (options "-v -v").
Utilisez na6 en ligne en utilisant les services onworks.net
