Le Day™ est enfin arrivé. J'ai évité l'IPv6 jusqu'à présent, mais mon ignorance béate doit prendre fin.
Mon FAI m'a informé qu'un appareil de mon réseau a effectué une recherche DNS pour l'un des serveurs C&C mis hors ligne lors de la récente action des forces de l'ordre contre le botnet Avalanche. Je dois trouver cet appareil et m'en occuper, j'ai donc activé la journalisation sur mon serveur DNS. Enfin, après quatre jours, une demande de recherche DNS correspondante a été faite, mais à mon grand désarroi, la demande provenait de l'adresse suivante fe80::113d:d91e:e685:943b . Merde. Je suis un novice en matière d'IPv6 et j'ai une machine sur mon réseau de plus de 60 nœuds qui fait partie d'un botnet de logiciels malveillants.
J'ai couru tracert et a déterminé que c'est sur le lien local et actuellement en ligne :
Tracing route to fe80::113d:d91e:e685:943b over a maximum of 30 hops
1 9 ms <1 ms 1 ms fe80::113d:d91e:e685:943bAvec un appareil IPv4, je peux consulter mes baux DHCP pour obtenir le nom de l'appareil. Si ce n'est pas le cas, je ferais un ping, puis j'exécuterais arp -a pour obtenir son adresse MAC, ce qui me donne au moins le fabricant. Mais ce réseau n'a pas de serveur DHCP IPv6 et arp ne semble pas parler IPv6.
J'ai essayé de suivre un cours intensif sur IPv6 et j'ai appris que les fe80 signifie que l'adresse est locale au lien et que je peux supposément dériver l'adresse MAC de l'adresse. I a essayé de le faire et obtenir le MAC 13:3d:d9:85:94:3b . Aucun des outils de recherche OUI ne le reconnaît et il n'apparaît pas dans mes baux DHCP IPv4.
Comment puis-je déterminer quel appareil de mon réseau possède cette adresse IPv6 ?
Mes serveurs et les machines sur lesquelles j'effectue mes dépannages fonctionnent sous Windows.
