Clear Sky Science
הסברים מבוססי ראיות, עם מעט ז'רגון

Clear Sky Science · he

סריקה יעילה של כתובות IPv6 בהתבסס על קורלציית שמות מארחים ברשת רק-IPv6

· חזרה לאינדקס

מדוע חשוב למצוא כתובות אינטרנט סמויות

מאחורי כל טלפון, מחשב נייד, שרת או חיישן חכם ברשת מודרנית מסתתרת לפחות כתובת מספרית שמאפשרת לנתונים למצוא את דרכם. עם התקן החדש IPv6, לכל מכשיר יכולות להיות כתובות רבות כאלה, ומרחב המספרים האפשרי הוא עצום למדי. הדבר מקשה על מנהלי רשת וצוותי אבטחה לענות על שאלה שנראית פשוטה: אילו מכונות באמת פעילות ברשת המקומית שלי כרגע? מאמר זה מציג את HFinder6, שיטה חדשה לחשוף במהירות את מכשירי ה‑IPv6 הפעילים — גם ברשתות שהנטישו לחלוטין את טכנולוגיית ה‑IPv4 הישנה.

האתגר של ראיית מכשירים באוקיינוס של מספרים

כלי המיפוי המסורתיים של מחשבים ברשת נולדו בתקופת ה‑IPv4, שבה מרחב הכתובות היה קטן וטריקים פשוטים כמו שידור שאלה לכולם בדרך כלל עבדו. IPv6 משנה את התמונה: טווח הכתובות כל כך עצום שהתקפות כוחניות בלתי אפשריות, ושיטות גילוי רבות המבוססות על שידורים פשוטות כבר אינן קיימות. טכניקות מוקדמות של רק-IPv6 ניסו לעורר תגובות באמצעות הודעות ברמת פרוטוקול נמוכה, אך מערכות הפעלה מודרניות מטפלות בתעבורה כזו כחשודה ודאות להעבירה. כלים חדשים שיפרו את הכיסוי על ידי שילוב מידע מ‑IPv4 ו‑IPv6, למשל על‑ידי לימוד שמות מארחים דרך IPv4 ואז בדיקה באותו שמות ב‑IPv6. שיטות אלה עובדות די טוב כיום, אך הן תלויות בנוכחות IPv4 — הנחה שמתערערת במהירות ככל שמפעילים מפעילים רשתות טהורות של IPv6.

Figure 1
Figure 1.

רעיון חדש: עקבו אחרי השמות, לא אחרי המספרים

HFinder6 נוקט בגישה שונה שמתמקדת בשמות מארחים — התויות הנקראות־בני־אדם שמובנות במערכות ההפעלה ומשותפות בפרוטוקולים מרכזיים של הרשת. הכותבים מבחינים בשלוש עובדות מפתח. ראשית, ברשת מקומית שמות מארחים בדרך כלל ייחודיים, כי מערכות וכלי ניהול משתדלים למנוע כפילויות. שנית, שמות אלה מופיעים אוטומטית בחילופי מידע רבים סטנדרטיים, מתצורת כתובת ועד בקשות שם מקומיות, ללא צורך בפעולת משתמש. שלישית, פורמטים סטנדרטיים מאפשרים לסורק לחלץ את שם המארח הקצר מתוך שם בסגנון דומיין ארוך יותר. יחד, משמעות הדבר היא שאם אפשר לאסוף שמות מארחים בקישור באופן אמין, אפשר אז לשאול את הרשת, באמצעות מנגנוני פתרון שמות רגילים, אילו כתובות IPv6 שייכות לאילו שמות. כך נפתרת בעיית הגילוי ממחפש במרחב מספרי עצום לעקיבה אחרי רשימת מזהים קטנה בהרבה.

איך HFinder6 מעודד בעדינות את המכשירים להיחשף

כדי לקצור שמות מארחים בלי להסתמך על IPv4, HFinder6 מנצל אינטראקציה שפחות בשימוש בין שני רכיבים של IPv6. הוא שולח הודעת הכרזה של נתב המיוחדת בקישר המקומי, עם דגל שאמור, לפי התקנים, לאותת ללקוחות להשתמש בשיטת התצורה הממלכתית הידועה DHCPv6. גם אם אין שרת DHCPv6 אמיתי ברשת, מערכות תואמות עדיין ישלחו הודעת בקשה ראשונית שכוללת בדרך כלל את שמהן המלא. HFinder6 מאזין מעט להודעות אלה, מסיר שכפולים בעזרת מזהה לקוח מובנה וחולץ כל שם מארח. רכיב שני, פעיל תמיד, ממשיך לצפות להודעות דומות לאורך זמן, כך שמכשירים שנכנסים לרשת מאוחר יותר ומכשירים המחזירים כתובות מתקבלים לרשימת השמות ללא צורך בסריקה מחודשת.

המרת שמות לערכות כתובות IPv6 שלמות

ברגע שיש ל‑HFinder6 רשימת שמות מארחים, הוא משתמש בשני פרוטוקולים מקומיים סטנדרטיים לגילוי — multicast DNS ו‑Link-Local Multicast Name Resolution — כדי לבקש אילו כתובות IPv6 תואמות לכל שם. שאילתות אלה, שנשארות ככולן בעולם ה‑IPv6, נשלחות במקביל כדי לקצר עיכובים ולכסות גם מערכות Windows וגם Linux. המכשירים משיבים עם כתובות ה‑IPv6 השונות שיש להם על הקישור, כולל מזהי link-local המשמשים לתקשורת בסיסית, כתובות גלובליות ארוכות יותר וכתובות זמניות ידידותיות לפרטיות. על ידי ניתוח תשובות אלה וסיווג סוגי הכתובות, HFinder6 בונה תמונה מפורטת של אופן התצורה של כל מארח גלוי, הרבה מעבר לכלים היכולים לראות רק כתובת אחת לכל מכונה.

Figure 2
Figure 2.

בדיקת השיטה במבחן

החוקרים בנו סביבה ניסיונית עם 20 גרסאות מערכת הפעלה שונות על שולחנות עבודה Windows, שרתי Windows, Ubuntu ו‑CentOS, והשוו את HFinder6 לארבעה סקריפטים רק‑IPv6 מתוך ערכת הכלים הפופולרית Nmap ולשלושה סורקים מתקדמים דו‑ערוציים. בסביבה המעורבת הזו, HFinder6 גילה 43 מתוך 47 כתובות IPv6 אפשריות שהופצו על פני 18 גרסאות מערכת הפעלה — התאמה לשלמות הטובה ביותר הקיימת תוך עבודה מוחלטת ללא IPv4. הוא גם עלה על שבעת הכלים להשוואה במהירות, עם ממוצע של קצת יותר מעשר שניות לסריקה ומציאת כ‑4.2 כתובות פעילות בשנייה. בהשוואה לשיטות רק‑IPv6 ישנות יותר, הוא הגדיל את מספר הכתובות שהתגלו בעד פי חמש ואף יותר, ושמר את אותו כיסוי בסביבה שבה רק IPv6 פעיל, שבה טכניקות מבוססות דו‑ערוץ פשוט הפסיקו לפעול.

מהי משמעות הדבר עבור רשתות אמיתיות

למפעילי רשת יום‑יומיים, HFinder6 מציע דרך לראות מה באמת נמצא ברשת מקומית רק‑IPv6, בלי לנחש במרחבי כתובות עצומים או להסתמך על רמזי IPv4 מיושנים. על ידי שימוש בהתנהגות סטנדרטית שכבר מוטמעת במערכות מודרניות ובהגבלת עצמו לפיצוץ קצר של הודעות מעוצבות בקפידה בתוספת האזנה פסיבית, הוא ממזער הפרעה תוך שהוא חושף מפת כמעט‑מלאה של מכשירים פעילים וכתובותיהם. המחקר מראה שגם כאשר האינטרנט עובר לחלוטין ל‑IPv6, עדיין ניתן לעקוב אחרי אילו מכונות נוכחות ונגישות — תנאי מקדים לניהול תקין, ניטור אבטחה ופתרון תקלות בדור הבא של הרשתות.

ציטוט: Sun, C., Zhang, L., Wang, R. et al. Efficient IPv6 address scanning based on hostname correlation in IPv6-only network. Sci Rep 16, 8799 (2026). https://doi.org/10.1038/s41598-026-39577-2

מילות מפתח: סריקת IPv6, גילוי רשת, קורלציית שמות מארחים, רשתות רק-IPv6, אבטחת רשת