Ага

маки немного предсказуемы

Да, безопасность и IPSec в v6 намного более проработана.

ipsec - тот ещё костыль

Подставлять префикс

Выдавать /128!

Много вендоров железа нельзя назначать меньше чем /64 почемуто - 128 не жрет

интересным будет телефонный разговор, в котором спросят "а что там за айпи адрес?"

Вместо скана уже кто-то придумал. Камеры имеют NTP, входишь в пул ntp.org и логируешь запросы :)

маки немного предсказуемы

последние 3 байта

Кто-то ещё что-то придумает

Как и SLAAC и DHCPv6

ну там тоже довольно дофига

Много вендоров железа нельзя назначать меньше чем /64 почемуто - 128 не жрет

Щито?! Это какое, например?!

а dhcp option 82?

Тех.дир не шарит в рекомендациях RIPE по распределению адресов...

DNS же

Блин(фейспалм)

угу

Тех.дир не шарит в рекомендациях RIPE по распределению адресов...

Да это всё понятно, но с точки зрения управления он реально прав, когда в дело включаетс человек всё начинает струтурироваться

Тех.дир не шарит в рекомендациях RIPE по распределению адресов...

Да кто доки то вообще читает?)

как ни структурируй

что бы знать что ддосить, надо знать адрес, а адрес известен только клиента кто на сайтек вылез

Опять же SLAAC не для провайдеров, DHCPv6 там вообще решает человек как выдавать, точнее админ

/64 на юзерский роутер, там slaac

мало ли что они там написали.

+1000. Прокурор и суд вообще похрен на эти "рекомендации" неясной юридической силы

/64 на юзерский роутер, там slaac

+

Провайдер выделяет на домохозяйство /56 или /32

почему SLAAC не для провайдеров?

в итоге хер ты найдешь камеру

*пардон /64

почему SLAAC не для провайдеров?

Идентифицировать как?

по порту же

Идентифицировать как?

По /64

/64 на юзерский роутер, там slaac

Остаётся юзерский роутер, который имеет прогнозируемый адрес

на wan вообще можно не давать UL адрем

только LL

И как маршрутизировать?

По /64

вилан на юзер? тогда да, или PPPoE

И как маршрутизировать?

что?

ну на LL имаршруть

PD автоматом же строит маршрут

Оно так не сработает в динамике, НЯП

вилан на юзер? тогда да, или PPPoE

Да. Если MPLS ядро, с этим нет никаких проблем.

на PE

а в этом /64 3 байта известны, префикс производителя, дальше смотрим диапазон mac адресов которые этим устройствам выдавались.

а в этом /64 3 байта известны, префикс производителя, дальше смотрим диапазон mac адресов которые этим устройствам выдавались.

+

а в этом /64 3 байта известны, префикс производителя, дальше смотрим диапазон mac адресов которые этим устройствам выдавались.

ШТА?

надо ставить брендмауэр провайдерам

а в этом /64 3 байта известны, префикс производителя, дальше смотрим диапазон mac адресов которые этим устройствам выдавались.

это для одного OUI

ping6 -I eth0 ff02::1 или directed broadcast

а можно проще

Короче. RIPE уже обо всём подумал и предлагает готовую схему. Бери используй. https://www.ripe.net/support/training/material/IPv6-for-LIRs-Training-Course/Preparing-an-IPv6-Addressing-Plan.pdf

А NDP несожрет всю ОЗУ роутера ?

ping6 -I eth0 ff02::1 или directed broadcast

ну так это на роутер надо зайти

если я начну сканить /64

ping6 -I eth0 ff02::1 или directed broadcast

какой нафиг бродкаст?

засаживаем пользователь малварь через браузер, а дальше уже в его сети развлекаемся

получается, что в домохозяйстве с 256 сетями /64 где-то сидит пара ноутбуков, холодильник, пара телефонов и телевизор ))

это более реалистичный вектор

Инокентий прав.

фаервол нужен всегда!

фаервол должен быть регулируемым

невсегда)

в6 не отменяет фаервол и антивирус

иначе всё это нафиг не упало

dhcp6 solicit в 250 pps вполне себе вызывает DoS обычного DHCP на Dlink

ERROR: S client not available

так же как и сейчас

только когда есть сеть)

Как потом я свяжусь со своим ipv6 устройством? Мне заполнить его?

домой по ssh уже не сходить?

домой по ssh уже не сходить?

У меня получается )

nat можно обойти если нет фаерволла

DNS

у меня тоже

У меня получается )

я про обсуждаемый провайдерский фаерволл

Как потом я свяжусь со своим ipv6 устройством? Мне заполнить его?

Dyn dns

а никто не решал вопрос обраток в6 по шаблону?

без безумных размеров на диске или в памяти

я про обсуждаемый провайдерский фаерволл

Задача провайдера - передавать трафик, а не защищать клиентские сети. Фаервол для домовой или корпоративной сети - это функционал для SOHO-железа.

Какой-то замкнутый круг. Мы рандомизируем адресное пространство и получаем геморой в виде сложности запоминания адресов. Добавляем dns, упрощаем атаку..

Не кто так про траблу NDP мне не объеснил

Какой-то замкнутый круг. Мы рандомизируем адресное пространство и получаем геморой в виде сложности запоминания адресов. Добавляем dns, упрощаем атаку..

попробуй DNS для запоминания

Задача провайдера - передавать трафик, а не защищать клиентские сети. Фаервол для домовой или корпоративной сети - это функционал для SOHO-железа.

доп услуга

Задача провайдера - передавать трафик, а не защищать клиентские сети. Фаервол для домовой или корпоративной сети - это функционал для SOHO-железа.

Ну так сложно сделать, потому что без этого и железо провайдера под замес попадает, или его абоненты заваливают потому что кто-то один срёт

зачем вообще запоми нать адреса?

При включении IPv6 на бордерах нагрузка почти не подрасла.

зачем вообще запоми нать адреса?

Домой как подключиться?

Учитывая, что FullView в IPv4 500+ тысяч, а в v6 - 20+ тысяч - ниочём.

Учитывая, что FullView в IPv4 500+ тысяч, а в v6 - 20+ тысяч - ниочём.

30+

Домой как подключиться?

dns

уже

Это интернет, а VPN?

Ну так сложно сделать, потому что без этого и железо провайдера под замес попадает, или его абоненты заваливают потому что кто-то один срёт

У нас не завалили... Те, кто попросил и получил - довольны.

dns

Ну хз, где имя взять? Платить за него?

Ну хз, где имя взять? Платить за него?

narod.ru

Ну хз, где имя взять? Платить за него?

Dyn dns

)

30+

Да, уже 30 )