定番のMITM攻撃ツールの一つだ。ローカルなネットワーク内ならば使用しても問題は無いので、LAN監視用に使っていた。LAN内のデバイス一覧を騙されずに取得するには一番便利だ。
スクショは上げられないが、IPv6 アドレスで不審なデバイスが鎮座していたので暫く置いて見張っていた。元々、YAMAHA RTX1200 の設定で、IN 向けのフィルターを2つほど張らずに置いていた。
曰く、
ipv6 filter xxxxx reject ::/96,::ffff:0:0/96,64:ff9b:1::/48,100::/64,2001:2::/48,2001:db8::/32,fc00::/7,fec0::/10,ff00::/8 *
と
ipv6 filter xxxxx reject ra-prefix@lan2::/64 *
になる。
・WAN側から来ることがない送信元IPアドレスならReject
・送信元IPアドレスが自ネットワークのPrefixならReject
という次第だ。結果的に、件の不審なデバイスは、このルールを適用すると消えた。先のMTUの調整で速度面は十分にIPv4で足りるので、各OSレベルでIPv6は切っておいた。Honeypot のこのPCを除いて。
まあ、何程の被害も出なかったけど、足跡は捉えた。後はログを読み込むだけ。IPv6 だから、ログにどの程度残っているか判らないが。何か他愛ないから、送信元アドレスを割り出せるかもしれない。