外部リソースにアクセスしないシングルプレイヤーをスキャンする可能性は非常に低いようです。 ただし、ほぼすべてのコンピューターで構成されていることが1つあります。NTPによる定期的な時刻同期です。
NTP
大部分のLinuxディストリビューションは、pool.ntp.orgサーバーを使用して、NTP経由で構成された自動時刻同期でインストールされます。 判明したように、pool.ntp.orgの一部になるのは非常に簡単です。これはShodanが世界のさまざまな地域で5つのNTPサーバーを使用する利点を生かしたものです。 。 したがって、ntp.orgプールには、応答で接続するIPv6アドレスをスキャンするShodanマシンのIPv6アドレスが45個ありました。スキャンの事実を発見し、Shodan Brad Heinサーバーをすべて計算しました。 すべてのスキャンNTPサーバーを手動で計算するのはかなり困難です。 NTPデーモンは、より正確な時刻同期のために多くのNTPサーバーに順番にアクセスします。 プロセスを自動化するために、ファイアウォールログを処理し、疑わしいホストに再度接続して、新しい一時IPv6アドレスを使用して応答して本当にスキャンすることを確認するスクリプトが作成されました。
Shodanでホストの所有権を確認するのは非常に簡単でした-ほとんどすべてのサーバーはPTRレコードで* .scan6.shodan.ioの形式の実際のホスト名を使用しました
現時点では、Shodanサーバーはntp.orgプールから除外されています。
自分を守る方法は?
SANS は 、ローカルネットワーク上に独自のNTPサーバーをセットアップすることをお勧めします。これは、GPS衛星またはGSM経由のオペレーターベースステーションの時刻を使用して、信頼できるNTPサーバーと同期されます。 たとえば、特別な指示に従って、NTPサーバーを構成することはすぐに安全です。 NTPプロトコルには、最近時刻を更新したすべてのクライアントのアドレスを発行するMONLISTコマンドがあるため、信頼できるサーバーを選択するときは注意してください。無効になっているサーバーを選択してください。おわりに
BjørnHansen は 、アクティブなIPv6アドレスを収集し、リストを第三者に販売するサービスが間もなく登場する可能性があると考えています。 「アクセスするWebサイトは慎重に選択してください。」参照資料
arstechnica.com/security/2016/02/using-ipv6-with-linux-youve-likely-been-visited-by-shodan-and-other-scannersnetpatterns.blogspot.de/2016/01/the-rising-sophistication-of-network.html
isc.sans.edu/forums/diary/Targeted+IPv6+Scans+Using+poolntporg/20681