https://wiki.ixheim.de/index.php?action=history&feed=atom&title=IPv6_Angriffsvektoren_Screencasts_KonzepteIPv6 Angriffsvektoren Screencasts Konzepte - Versionsgeschichte2026-05-14T21:42:46ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=IPv6_Angriffsvektoren_Screencasts_Konzepte&diff=65204&oldid=prevThomas.will: Die Seite wurde neu angelegt: „= IPv6 Angriffsvektoren - Laborumgebung und Demonstration = == Einführung == Dieser Artikel beschreibt spezifische Angriffsvektoren im IPv6-Protokollstack, d…“2025-10-19T13:19:37Z<p>Die Seite wurde neu angelegt: „= IPv6 Angriffsvektoren - Laborumgebung und Demonstration = == Einführung == Dieser Artikel beschreibt spezifische Angriffsvektoren im IPv6-Protokollstack, d…“</p>
<p><b>Neue Seite</b></p><div>= IPv6 Angriffsvektoren - Laborumgebung und Demonstration =<br />
<br />
== Einführung ==<br />
Dieser Artikel beschreibt spezifische Angriffsvektoren im IPv6-Protokollstack, die oft übersehen werden. Ziel ist es, eine Laborumgebung aufzubauen, in der diese Angriffe praktisch vorgeführt und mittels Screencasts dokumentiert werden können. IPv6 bringt neue Protokolle und Autokonfigurationsmechanismen mit, die ohne entsprechende Härtung neue Angriffsflächen eröffnen.<br />
<br />
== Laboraufbau ==<br />
<br />
=== Grundvoraussetzungen ===<br />
Für das Labor werden mindestens drei virtuelle Maschinen (z.B. in VirtualBox oder VMware) benötigt:<br />
<br />
* '''Angreifer:''' Kali Linux (enthält die meisten benötigten Tools)<br />
* '''Opfer:''' Windows 10/11 oder eine Linux-Distribution mit aktiviertem IPv6-Stack<br />
* '''Legitimer Router:''' Eine Linux-VM, die als korrekter IPv6-Router konfiguriert ist (z.B. mit '''radvd''')<br />
<br />
Das virtuelle Netzwerk (z.B. "Host-only" oder "NAT Network") muss IPv6 unterstützen. Für kontrollierte Bedingungen kann die manuelle Konfiguration von IPv6-Adressen empfohlen werden.<br />
<br />
=== Wichtige Tool-Sammlung ===<br />
Das folgende Toolkit ist für die Durchführung der Angriffe essentiell:<br />
<br />
'''thc-ipv6:''' Das Hauptwerkzeugkasten für IPv6-Pentesting.<br />
<syntaxhighlight lang="bash"><br />
git clone https://github.com/vanhauser-thc/thc-ipv6.git<br />
cd thc-ipv6<br />
make<br />
sudo make install<br />
</syntaxhighlight><br />
<br />
'''Wireshark:''' Unverzichtbar für die Analyse und Visualisierung der Netzwerkpakete in den Screencasts. Filter wie `icmpv6` oder `dhcpv6` sind hierbei nützlich.<br />
'''SIv6 (Scapy for IPv6):''' Für das Craften individueller IPv6-Pakete, falls tiefere Protokollanalysen nötig sind.<br />
<br />
== Spezifische Angriffsvektoren und deren Demonstration ==<br />
<br />
=== Rogue Router Advertisement (RA) - "The Silent Takeover" ===<br />
<br />
==== Konzept ====<br />
Clients konfigurieren ihre IPv6-Adressen oft automatisch via SLAAC (Stateless Address Autoconfiguration), indem sie auf Router Advertisements (RAs) lauschen. Ein Angreifer kann sich als Standard-Gateway ausgeben und den gesamten Datenverkehr des Opfers umleiten (Man-in-the-Middle).<br />
<br />
==== Tools ====<br />
* <code>fake_router6</code> (aus thc-ipv6)<br />
* <code>radvd</code> (für den legitimen Router)<br />
* <code>wireshark</code><br />
<br />
==== Screencast-Ablauf ====<br />
# '''Ausgangssituation:''' Auf dem Opfer wird <code>ip -6 route</code> ausgeführt. Die bestehende Standardroute zum legitimen Router wird gezeigt.<br />
# '''Angriff starten:''' Auf der Angreifer-Maschine wird der Befehl <code>fake_router6 eth0 <IPv6-Netzwerk-Präfix></code> ausgeführt.<br />
# '''Wirkung demonstrieren:''' Der Befehl <code>ip -6 route</code> wird auf dem Opfer erneut ausgeführt. '''Pointe:''' Eine neue Standardroute mit einer besseren (niedrigeren) Metrik zum Angreifer ist vorhanden.<br />
# '''Konsequenz zeigen:''' Auf dem Angreifer wird Wireshark gestartet. Vom Opfer wird ein Ping zu einem externen IPv6-Host (z.B. <code>ping6 ipv6.google.com</code>) gesendet. Der gesamte Traffic wird nun über den Angreifer geleitet.<br />
<br />
=== Neighbor Discovery Protocol (NDP) Spoofing / Poisoning ===<br />
<br />
==== Konzept ====<br />
Analog zu ARP-Spoofing in IPv4. Der Angreifer vergiftet den Neighbor-Cache des Opfers, indem er falsche Neighbor Advertisement (NA) Pakete sendet. Das Opfer lernt dadurch eine falsche MAC-Adresse für eine bestimmte IPv6-Adresse (z.B. sein Default-Gateway).<br />
<br />
==== Tools ====<br />
* <code>parasite6</code> (aus thc-ipv6)<br />
<br />
==== Screencast-Ablauf ====<br />
# '''Ausgangssituation:''' Auf dem Opfer wird <code>ip -6 neighbor show</code> ausgeführt. Der korrekte Eintrag für das Standard-Gateway wird angezeigt.<br />
# '''Angriff starten:''' Auf der Angreifer-Maschine: <code>parasite6 eth0</code><br />
# '''Vergiftung demonstrieren:''' <code>ip -6 neighbor show</code> wird auf dem Opfer erneut ausgeführt. '''Pointe:''' Der Eintrag für die IPv6-Adresse des Routers zeigt nun die MAC-Adresse der Angreifer-Maschine.<br />
# '''Konsequenz zeigen:''' Der Angreifer ist nun ein Man-in-the-Middle und kann den Traffic mitlesen oder modifizieren.<br />
<br />
=== DHCPv6 Spoofing - "The Rogue DHCPv6 Server" ===<br />
<br />
==== Konzept ====<br />
Fordert ein Client seine Konfiguration per DHCPv6 an, kann ein bösartiger Server eine gefälschte Konfiguration verteilen. Kritisch ist insbesondere die Zuweisung eines manipulierten DNS-Servers (DNS Redirection).<br />
<br />
==== Tools ====<br />
* <code>fake_dhcp6</code> (aus thc-ipv6)<br />
* <code>dnsmasq</code> (für den bösartigen DNS-Server)<br />
<br />
==== Screencast-Ablauf ====<br />
# '''Ausgangssituation:''' Auf dem Opfer wird die Datei <code>/etc/resolv.conf</code> angezeigt, um die legitimen DNS-Server zu dokumentieren.<br />
# '''Angriff vorbereiten:''' Auf dem Angreifer wird <code>dnsmasq</code> so konfiguriert, dass alle Anfragen auf einen selbst gehosteten Server umgeleitet werden.<br />
# '''Angriff starten:''' <code>fake_dhcp6 -d <IP-des-Angreifer-DNS> eth0 <IPv6-Netzwerk-Präfix></code><br />
# '''Erfolg demonstrieren:''' Die <code>/etc/resolv.conf</code> des Opfers wird erneut geprüft. '''Pointe:''' Als DNS-Server ist nun die IP des Angreifers eingetragen.<br />
# '''Konsequenz zeigen:''' Das Opfer ruft eine Webseite (z.B. <code>www.meine-bank.de</code>) auf. Der Browser lädt eine gefälschte Seite vom Angreifer.<br />
<br />
=== IPv6 Local-Link Multicast Attacks (Reconnaissance & DoS) ===<br />
<br />
==== Konzept ====<br />
Multicast-Nachrichten im Link-Local-Bereich können für Angriffe genutzt werden. <code>alive6</code> nutzt diese, um alle aktiven IPv6-Hosts im Netzwerk zu finden. <code>flood_router6</code> kann das Netzwerk mit RAs überschwemmen und so einen Denial-of-Service (DoS) verursachen.<br />
<br />
==== Tools ====<br />
* <code>alive6</code>, <code>flood_router6</code>, <code>fake_mld26</code>, <code>fake_mld66</code> (aus thc-ipv6)<br />
<br />
==== Screencast-Ablauf ====<br />
# '''Ausgangssituation (Recon):''' Das Netzwerk scheint "leer" zu sein.<br />
# '''Angriff starten (Recon):''' <code>alive6 eth0</code>. '''Pointe:''' Es werden alle IPv6-fähigen Hosts im Netzwerksegment angezeigt.<br />
# '''Ausgangssituation (DoS):''' Das Opfer hat eine stabile IPv6-Verbindung.<br />
# '''Angriff starten (DoS):''' <code>flood_router6 eth0</code>. Das Netzwerk wird mit Router Advertisements geflutet.<br />
# '''Wirkung zeigen:''' Das Opfer verliert die Netzwerkkonnektivität oder diese wird stark beeinträchtigt. Wireshark zeigt die Paketflut.<br />
<br />
=== Ausnutzung von Tunneling-Mechanismen (IPv6 über IPv4) ===<br />
<br />
==== Konzept ====<br />
Da IPv6-Traffic oft weniger stark überwacht wird als IPv4, können Tunneling-Protokolle wie 6in4 (Protocol 41) genutzt werden, um eine verborgene Kommunikationsstraße (Covert Channel) aus einem gesicherten Netzwerk aufzubauen.<br />
<br />
==== Tools ====<br />
* <code>socat</code><br />
<br />
==== Screencast-Ablauf ====<br />
# '''Szenario aufbauen:''' Das Lab-Netzwerk simuliert ein Corporate-Netzwerk mit einer restriktiven IPv4-Firewall, die IPv6-Tunneling jedoch erlaubt.<br />
# '''Tunnel aufbauen:''' Es wird gezeigt, wie mit <code>socat</code> auf dem internen Opfer und einem externen Server (z.B. einer VPS) ein 6in4-Tunnel eingerichtet wird.<br />
# '''Umgehung demonstrieren:''' Es wird gezeigt, wie über den established IPv6-Tunnel von innen nach außen kommuniziert werden kann. '''Pointe:''' Die IPv4-Firewall-Regeln werden effektiv umgangen.<br />
<br />
== Abwehrmaßnahmen ==<br />
Um die gezeigten Angriffe zu mitigieren, können folgende Maßnahmen ergriffen werden:<br />
<br />
* '''RA-Guard (Router Advertisement Guard):''' Konfiguration auf Switches, um RAs von nicht-autorisierten Ports zu blockieren.<br />
* '''DHCPv6-Shield:''' Ähnlich zu RA-Guard, aber für DHCPv6-Messages.<br />
* '''SEcure Neighbor Discovery (SEND):''' Nutzung von kryptografischen Methoden zur Absicherung des Neighbor Discovery Protocol. (In der Praxis wenig verbreitet).<br />
* '''Network Monitoring:''' Überwachung des IPv6-Traffics auf Anomalien und unerwünschte Multicast-/Broadcast-Nachrichten.<br />
* '''Explizite Konfiguration:''' Deaktivierung der IPv6-Autokonfiguration und statische, kontrollierte Zuweisung von Adressen und Routen in kritischen Umgebungen.<br />
* '''Host-Based Firewalls:''' Konfiguration von Firewalls auf den Endgeräten, die auch IPv6-Traffic regeln.<br />
* '''Tunneling restriktieren:''' Firewall-Regeln, die unerwünschte Tunneling-Protokolle (wie Proto 41) blockieren.<br />
<br />
[[Kategorie:Netzwerksicherheit]]<br />
[[Kategorie:IPv6]]<br />
[[Kategorie:Pentesting]]</div>Thomas.will