Aceasta este comanda na6 care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
na6 - Un instrument de evaluare a securității pentru vectorii de atac bazat pe ICMPv6 Neighbor Advertisement
mesaje
REZUMAT
na6 [-i INTERFAȚĂ] [-s SRC_ADDR[/LEN]] [-d DST_ADDR] [-S LINK_SRC_ADDR] [-y FRAG_SIZE] [-u
DST_OPT_HDR_SIZE] [-U DST_OPT_U_HDR_SIZE] [-H HBH_OPT_HDR_SIZE] [-D LINK-DST-ADDR] [-t
TARGET_ADDR[/LEN]] [-r] [-c] [-o] [-E LINK_ADDR] [-e] [-j PREFIX[/LEN]] [-k PREFIX[/LEN]]
[-J LINK_ADDR] [-K LINK_ADDR] [-w PREFIX[/LEN]] [-b PREFIX[/LEN]] [-g PREFIX[/LEN]] [-B
LINK_ADDR] [-G LINK_ADDR] [-W PREFIX[/LEN]] [-F N_SOURCES] [-T N_TARGETS] [-L | -l] [-z]
[-v] [-V] [-h]
DESCRIERE
na6 permite evaluarea implementărilor IPv6 cu privire la o varietate de atacuri
vectori bazați pe mesaje ICMPv6 Neighbor Advertisement. Face parte din rețelele SI6
IPv6 Toolkit: o suită de evaluare a securității pentru protocoalele IPv6.
Acest instrument are două moduri de funcționare: activ și pasiv. În modul activ, instrumentul atacă
o țintă specifică, în timp ce în modul pasiv instrumentul ascultă traficul din rețeaua locală,
și lansează un atac ca răspuns la un astfel de trafic. Modul activ este utilizat dacă a
adresa de destinație (Adresă de destinație IPv6 sau Adresă de destinație Ethernet) și a
Sunt specificate adresa țintă. Modul pasiv este folosit dacă opțiunea „-L” (sau este lung
omologul „--ascultă”) este setat. Dacă atât o țintă de atac, cât și opțiunea „-L” sunt setate,
atacul este lansat împotriva țintei specificate, iar apoi instrumentul intră în modul pasiv la
răspunde la mesajele primite de solicitare a vecinului cu reclamă pentru vecin (atac)
pachete.
Instrumentul acceptă filtrarea mesajelor de solicitare a vecinilor primite pe baza
Adresa sursă Ethernet, adresa de destinație Ethernet, adresa sursă IPv6,
Adresa de destinație IPv6 și adresa țintă a solicitării vecinului. Sunt două
tipuri de filtre: „filtre de blocare” și „filtre de acceptare”. Dacă vreun „filtru bloc” este
specificat și mesajul de solicitare a vecinului primit se potrivește cu oricare dintre aceste filtre,
mesajul este renunțat (și astfel nu sunt trimise anunțuri pentru vecini ca răspuns). Dacă
este specificat orice „filtru de acceptare”, mesajele primite de solicitare a vecinilor trebuie să se potrivească cu
filtre specificate pentru ca instrumentul na6 să răspundă cu Neighbor Advertisement
mesaje.
OPŢIUNI
na6 își ia parametrii ca opțiuni de linie de comandă. Fiecare dintre opțiuni poate fi specificată
cu un nume scurt (un caracter precedat de caracterul cratima, de exemplu „-i”) sau cu
un nume lung (un șir precedat cu două cratime, de exemplu „--interfață”).
În funcție de cantitatea de informații (adică, opțiuni) care urmează să fie transmisă către vecin
Reclame, poate fi necesar ca instrumentul na6 să împartă aceste informații în mai multe
mai mult de un mesaj publicitar de vecin. De asemenea, dacă instrumentul este instruit să inunde
victimă cu reclame pentru vecini din diferite surse („opțiunea --flood-sources”),
poate fi necesar să fie generate mai multe pachete. na6 acceptă fragmentarea IPv6, care poate fi
de utilizare dacă o cantitate mare de informații trebuie să fie transmisă într-un singur vecin
Mesaj publicitar. Cu toate acestea, fragmentarea IPv6 nu este activată în mod implicit și trebuie să fie
activat în mod explicit cu opțiunea „-y”.
-i INTERFAȚĂ, --interfață INTERFAȚĂ
Această opțiune specifică interfața de rețea pe care instrumentul o va folosi. Dacă
adresa de destinație (opțiunea „-d”) este o adresă locală de legătură sau „ascultarea”
Modul ("-L") este selectat, interfața trebuie specificată în mod explicit. Interfața
poate fi specificat și împreună cu o adresă de destinație, cu opțiunea „-d”.
-s SRC_ADDR, --src-address SRC_ADDR
Această opțiune specifică adresa sursă IPv6 (sau prefixul IPv6) care va fi utilizată pentru
Adresa sursă a pachetelor de atac. Dacă nu este specificat, un link-local aleatoriu
este selectată adresa unicast (fe80::/64).
Dacă este specificată opțiunea „-T” („--flood-targets”), această opțiune include un IPv6
prefix. Consultați descrierea opțiunii „-T” pentru mai multe informații despre cum
Opțiunea „-s” este procesată în acel caz specific.
-d DST_ADDR, --dst-adresă DST_ADDR
Această opțiune specifică adresa de destinație IPv6 a victimei. Dacă rămâne
nespecificat, dar este specificată adresa de destinație Ethernet, „toate nodurile
adresa link-local multicast" (ff02::1) este selectată ca destinație IPv6
Abordare.
Când funcționează în modul pasiv (opțiunea „-L”), adresa de destinație IPv6 este
selectat în funcție de adresa sursă IPv6 a solicitării de vecină primite
mesaj. Dacă adresa sursă IPv6 a solicitării vecinului este nespecificată
adresa (::), adresa „toate nodurile link-local multicast” (ff02::1) este utilizată ca
Adresa de destinație IPv6. În caz contrar, adresa sursă IPv6 a celor primite
Mesajul de solicitare a vecinului este utilizat ca adresă de destinație IPv6 a
mesaje neighbour advertising (atac) trimise.
--hop-limit, -A
Această opțiune specifică Limita de hop care trebuie utilizată pentru anunțul vecin
mesaje. Este implicit 255. Rețineți că nodurile IPv6 sunt necesare pentru a verifica dacă
Limita de hop a mesajelor de publicitate vecine primite este 255. Prin urmare, aceasta
opțiunea este utilă doar pentru a evalua dacă o implementare IPv6 nu reușește să impună
verificarea menționată mai sus.
-y MĂRIMEA, --frag-hdr MĂRIMEA
Această opțiune specifică faptul că pachetul rezultat trebuie să fie fragmentat. Fragmentul
dimensiunea trebuie specificată ca argument pentru această opțiune.
-u HDR_SIZE, --dst-opt-hdr HDR_SIZE
Această opțiune specifică faptul că un antet Opțiuni de destinație trebuie inclus în
pachetul rezultat. Mărimea antetului extensiei trebuie specificată ca argument pentru
această opțiune (antetul este umplut cu opțiuni de umplutură). Destinații multiple
Antetele opțiunilor pot fi specificate prin intermediul mai multor opțiuni „-u”.
-U HDR_SIZE, --dst-opt-u-hdr HDR_SIZE
Această opțiune specifică un antet Opțiuni de destinație care trebuie inclus în
„partea nefragmentabilă” a pachetului rezultat. Mărimea antetului trebuie specificată ca
un argument pentru această opțiune (antetul este umplut cu opțiuni de umplutură). Multiplu
Antetele Opțiuni de destinație pot fi specificate prin intermediul mai multor opțiuni „-U”.
Această opțiune este valabilă numai dacă este specificată opțiunea „-y” (ca conceptul de
„partea nefragmentabilă” are sens numai atunci când este folosită fragmentarea).
-H HDR_SIZE, --hbh-opt-hdr HDR_SIZE
Această opțiune specifică faptul că un antet Hop-by-Hop Options va fi inclus în
pachetul rezultat. Mărimea antetului trebuie specificată ca argument pentru această opțiune
(antetul este umplut cu opțiuni de umplutură). Mai multe anteturi Hop-by-Hop Options
poate fi specificat prin intermediul mai multor opțiuni „-H”.
-S SRC_LINK_ADDR, --src-link-address SRC_LINK_ADDR
Această opțiune specifică adresa sursă a stratului de legătură a anunțului vecin
mesaje (această opțiune este valabilă numai pentru interfețele Ethernet). Dacă este lăsat nespecificat,
Adresa sursă a stratului de legătură este randomizat.
Când funcționează în modul pasiv, Adresa sursă a stratului de legătură este selectată în funcție
la adresa de destinație IPv6 a mesajului de solicitare a vecinului primit. Dacă
adresa de destinație IPv6 a mesajului de solicitare a vecinului primit este a
adresa multicast (de obicei o adresă multicast cu nod solicitat), stratul de legătură
Adresa sursă este setată la adresa specificată de opțiunea „-S” (sau la un
adresa dacă opțiunea „-S” a fost lăsată nespecificată). Dacă adresa de destinație IPv6
Solicitarea vecinului primită nu este o adresă multicast (adică, este o adresă
adresa unicast), Adresa sursă a stratului de legătură este setată la Destinația Ethernet
Adresa mesajului de solicitare a vecinului primit.
-D DST_LINK_ADDR, --dst-link-address DST_LINK_ADDR
Această opțiune specifică adresa de destinație a stratului de legătură a vecinului
Mesaje publicitare (această opțiune este valabilă numai pentru interfețele Ethernet). Dacă rămâne
nespecificat, este setat la adresa „toate nodurile link-local multicast” (ff02::1).
Când funcționează în modul pasiv, Adresa de destinație a stratului de legătură este setată conform
la adresa sursă IPv6 a mesajului de solicitare a vecinului primit. Dacă
Adresa sursă IPv6 a mesajului de solicitare a vecinului primit este
adresa nespecificată (::), adresa de destinație a stratului de legătură este setată la
„33:33:00:00:00:01” (adresa Ethernet multicast corespunzătoare IPv6 „toate-
noduri link-local multicast adresa"). În caz contrar, adresa de destinație a stratului de legătură
este setată la Adresa sursă a stratului de legătură a solicitării de vecină primite
mesaj.
--router, -r
Această opțiune indică instrumentului na6 să seteze bitul „R” (router) în vecinul
Mesajele publicitare pe care le trimite. Bitul „R” indică faptul că nodul trimite
mesajul este un router. Dacă este lăsat nespecificat, bitul „R” nu este setat.
--solicitat, -c
Această opțiune indică instrumentului na6 să seteze bitul „S” („Solicitat”) în vecinul
Mesajele publicitare pe care le trimite. Când funcționează în modul pasiv (opțiunea („-L”)),
indicatorul „Solicitat” este forțat la 1 în toate răspunsurile trimise către unicast IPv6
adrese.
--override, -o
Această opțiune indică instrumentului na6 să seteze bitul „O” („Override”) în vecinul
Mesajele publicitare pe care le trimite. Dacă această opțiune este lăsată nespecificată, „O”
bit nu este setat.
--țintă, -t
Această opțiune specifică adresa țintă IPv6 a anunțului vecin
mesaje.
Dacă este specificată opțiunea „-T” („--flood-targets”), această opțiune specifică un IPv6
prefix sub forma „-t prefix/prefixlen”. Consultați descrierea opțiunii „-T”.
pentru informații suplimentare despre modul în care este procesată opțiunea „-t” în acel caz specific.
--target-lla-opt, -E
Această opțiune specifică conținutul unei opțiuni de adresă a stratului de legătură țintă care urmează să fie
incluse în mesajele de publicitate pentru vecini. Dacă este specificată o singură opțiune,
este inclus în toate mesajele de ieșire Neighbour Advertisement. Dacă mai mult decât
este specificată o adresă țintă a stratului de legătură (prin intermediul mai multor opțiuni „-E”) și
toate opțiunile rezultate nu pot fi transmise într-un singur Anunț Neighbour
mesaj, mai multe reclame pentru vecini vor fi trimise după cum este necesar.
--add-tlla-opt, -e
Această opțiune instruiește instrumentul na6 să includă o opțiune de adresă a stratului de legătură țintă în
mesajele Neighbour Advertisement pe care le trimite. Adresa țintă a stratului de legătură
inclusă în opțiune este aceeași cu adresa sursă Ethernet utilizată pentru
mesajele de reclamă de la vecin. Diferența dintre această opțiune și
opțiunea „-E” este că opțiunea „-e” nu specifică valoarea reală a
opțiune, dar doar instruiește instrumentul să includă o opțiune de adresă a stratului de legătură țintă
(valoarea reală a opțiunii este selectată așa cum sa explicat mai sus).
-j SRC_ADDR, --block-src SRC_ADDR
Această opțiune setează un filtru de blocare pentru pachetele primite, pe baza IPv6 a acestora
Sursa adresei. Permite specificarea unui prefix IPv6 sub forma „-j
prefix/prefixlen". Dacă lungimea prefixului nu este specificată, o lungime a prefixului "/128"
este selectată (adică, opțiunea presupune că o singură adresă IPv6, mai degrabă decât o
Prefixul IPv6, a fost specificat).
-k DST_ADDR, --block-dst DST_ADDR
Această opțiune setează un filtru de blocare pentru mesajele primite de solicitare a vecinului,
pe baza adresei lor de destinație IPv6. Permite specificarea unui IPv6
prefix sub forma „-k prefix/prefixlen”. Dacă lungimea prefixului nu este specificată, a
Este selectată lungimea prefixului „/128” (adică, opțiunea presupune că un singur IPv6
a fost specificată adresa, mai degrabă decât un prefix IPv6).
-J SRC_ADDR, --block-link-src SRC_ADDR
Această opțiune setează un filtru de bloc pentru pachetele de intrare, pe baza stratului lor de legătură
Sursa adresei. Opțiunea trebuie să fie urmată de o adresă de nivel de legătură (această opțiune este
valabil numai pentru interfețele Ethernet).
-K DST_ADDR, --block-link-dst DST_ADDR
Această opțiune setează un filtru de bloc pentru pachetele de intrare, pe baza stratului lor de legătură
Adresa de destinație. Opțiunea trebuie să fie urmată de o adresă de nivel de legătură (acest
opțiunea este valabilă numai pentru interfețele Ethernet).
-b SRC_ADDR, --accept-src SRC_ADDR
Această opțiune setează un filtru de acceptare pentru pachetele primite, în funcție de IPv6
Sursa adresei. Permite specificarea unui prefix IPv6 sub forma „-b
prefix/prefixlen". Dacă lungimea prefixului nu este specificată, o lungime a prefixului "/128"
este selectată (adică, opțiunea presupune că o singură adresă IPv6, mai degrabă decât o
Prefixul IPv6, a fost specificat).
-g DST_ADDR, --accept-dst DST_ADDR
Această opțiune setează un filtru de acceptare pentru pachetele primite, în funcție de IPv6
Adresa de destinație. Permite specificarea unui prefix IPv6 sub forma „-g
prefix/prefixlen". Dacă lungimea prefixului nu este specificată, o lungime a prefixului "/128"
este selectată (adică, opțiunea presupune că o singură adresă IPv6, mai degrabă decât o
Prefixul IPv6, a fost specificat).
-B SRC_ADDR, --accept-link-src SRC_ADDR
Această opțiune setează un filtru de acceptare pentru mesajele primite de solicitare a vecinilor,
pe baza Adresei sursă a stratului lor de legătură. Opțiunea trebuie să fie urmată de a
adresa stratului de legătură (această opțiune este valabilă numai pentru interfețele Ethernet).
-G DST_ADDR, --accept-link-dst DST_ADDR
Această opțiune setează un filtru de acceptare pentru pachetele primite, pe baza acestora
link-layer Adresa de destinație. Opțiunea trebuie să fie urmată de o adresă de nivel de legătură
(această opțiune este valabilă numai pentru interfețele Ethernet).
--bloc-țintă, -w
Această opțiune setează un filtru de blocare pentru mesajele primite de solicitare a vecinului,
pe baza adresei lor țintă. Permite specificarea unui prefix IPv6 în
forma „-w prefix/prefixlen”. Dacă lungimea prefixului nu este specificată, o lungime a prefixului
de „/128” este selectat (adică, opțiunea presupune că o singură adresă IPv6, mai degrabă
decât un prefix IPv6, a fost specificat).
--accept-ținta, -W
Această opțiune setează un filtru de acceptare pentru mesajele primite de solicitare a vecinilor,
pe baza adresei lor țintă. Permite specificarea unui prefix IPv6 în
forma „-W prefix/prefixlen”. Dacă lungimea prefixului nu este specificată, o lungime a prefixului
de „/128” este selectat (adică, opțiunea presupune că o singură adresă IPv6, mai degrabă
decât un prefix IPv6, a fost specificat).
--tinte-inundatii, -T
Această opțiune indică instrumentului na6 să trimită reclame pentru mai multe
Adrese țintă. Numărul de adrese țintă diferite este specificat ca „-T
număr". Adresa țintă a fiecărui pachet este aleasă aleatoriu din prefix
fe80::/64, cu excepția cazului în care a fost specificat un prefix diferit prin intermediul „-t”
opțiune. Este setată adresa sursă IPv6 a fiecărui mesaj publicitar de vecin
conform adresei IPv6 sau prefixului specificat cu opțiunea „-s” și
implicit la o adresă de unicast link-local aleatoriu (fe80::/64) dacă opțiunea „-s” este
lăsat nespecificat.
--surse-de-inundare, -F
Această opțiune indică instrumentului să trimită mai multe mesaje de publicitate pentru vecini
cu adrese sursă diferite. Numărul de surse diferite este specificat ca
„-număr F”. Adresa sursă a fiecărui reclamă vecină este selectată aleatoriu
din prefixul specificat de opțiunea „-s”. Dacă este specificată opțiunea „-F” dar
opțiunea „-s” este lăsată nespecificată, Adresa sursă a pachetelor este aleatoriu
selectat din prefixul fe80::/64 (link-unicast local). Trebuie remarcat faptul că
gazdele sunt obligate să renunțe la mesajele de reclamă la router care nu au a
adresă link-local unicast ca adresă sursă.
--buclă, -l
Această opțiune indică instrumentului na6 să trimită periodic anunțuri Neighbor către
nodul victimă. Durata de pauză între trimiterea reclamelor pentru vecini
poate fi specificat prin intermediul opțiunii „-z” și este implicit la 1 secundă. Rețineți că
această opțiune nu poate fi setată împreună cu opțiunea „-L” („--ascultă”).
--somn, -z
Această opțiune specifică perioada de pauză între trimiterea Neighbor
Solicitări (când este setată opțiunea „--loop”). Dacă este lăsat nespecificat, este implicit
la 1 secundă.
--ascultă, -L
Acest lucru indică instrumentului na6 să funcționeze în modul pasiv (eventual după ce a atacat un
nodul dat, dacă au fost specificate opțiunile '-d' sau '-D'). Rețineți că această opțiune
nu poate fi utilizat împreună cu opțiunea "-l" ("--loop").
--verbos, -v
Această opțiune indică instrumentului na6 să fie verbos. Când opțiunea este setată de două ori,
instrumentul este „foarte verbos”, iar instrumentul informează și ce pachete au fost
acceptate sau aruncate ca urmare a aplicării filtrelor specificate.
--ajutor, -h
Tipăriți informații de ajutor pentru instrumentul na6.
EXEMPLE
Următoarele secțiuni ilustrează cazuri de utilizare tipice ale na6 instrument.
Exemplu #1
# na6 -i eth0 -d fe80::1 -t 2001:db8::1 -c -o -e
Utilizați interfața de rețea „eth0” pentru a trimite o reclamă de vecin folosind o legătură aleatorie-
Adresa sursă IPv6 unicast locală și o adresă sursă Ethernet aleatorie, către IPv6
Adresa de destinație ffe80::1 și adresa de destinație Ethernet 33:33:00:00:00:01
(selectat implicit). Ținta reclamei Neighbour este 2001:db8::1, iar
mesajul are setate atât steagurile „Override”, cât și „Solicitate”. Publicitatea vecinului
include, de asemenea, o opțiune de adresă de nivel de legătură țintă care conține aceeași adresă Ethernet
ca cea utilizată pentru adresa sursă Ethernet a pachetului.
Exemplu #2
# na6 -i eth0 -j fe80::1 -j 2001:db8::/32 -W fe80::/64 -c -o -e -L -v -v
Ascultați mesajele primite de solicitare a vecinilor pe interfața „eth0”. Aruncă-le
mesajele care au o adresă sursă IPv6 egală cu fe80::1, o adresă sursă IPv6 care
aparține prefixului 2001:db8::/32 sau unei adrese țintă care nu aparține
prefixul fe80::/64. Răspundeți (la acele mesaje care sunt acceptate) cu un vecin
Publicitate cu o adresă sursă Ethernet randomizată și o legătură locală randomizată
Adresa sursă IPv6 unicast (cu excepția cazului în care adresa de destinație a solicitării vecinului
a fost o adresă unicast), adresa de destinație IPv6 setată la adresa sursă a
mesaj NS primit (cu excepția cazului în care a fost adresa nespecificată), Adresa țintă setată la
aceeași valoare ca și adresa țintă a NS-ului primit și „Solicitat” și „Override”
steaguri puse. Fii foarte pronunțat ("-v -v").
Utilizați na6 online folosind serviciile onworks.net