NTP-Pakete von kuriosen IPv6-Adressen

Lord Gurke

Nur echt mit 32 Zähnen
Hallo,

mag dazu von euch jemand eine Meinung haben?
Ich habe im Firewall-Log Meldungen gefunden, dass IPv6-Pakete gefiltert wurden. Diese waren gerichtet an einen von mir betriebenen NTP-Poolserver (soweit OK).
Die Source-Adresse lässt mich aber an meinem IPv6-Wissen zweifeln - die Pakete kamen von Adressen wie "::6cf2:bbff:fecb:b1f4" oder "::981d:a8ff:fef3:ed81".

Das entspricht keiner mir bekannten Notation und erreichbar sind diese Adressen aus dem Internet wenig überraschend auch nicht.
Da der Nicht-Null-Teil immer 64 Bit lang ist vermute ich einfach mal dass da jemand beim Implementieren von Prefix-NAT verunglückt ist...
Oder ist das irgendein hipper neuer IPv6-Standard der an mir vorbeigegangen ist? :confused:

Von der Sorte gab es innerhalb eines relativ kurzen Zeitfensters so insgesamt etwa 200 Pakete mit verschiedensten Source-Adressen dieser Art - aber alle 48 Bytes groß (was zu NTP passen würde).

Danke!

Max
 

Joe User

Zentrum der Macht
Kaputtes LAN (Router/Switch/Firewall) ist ausgeschlossen?
Virtualisierung auf der Kiste? Falls ja, dann diese mal fixen.
 

Lord Gurke

Nur echt mit 32 Zähnen
Ich sehe das sowohl auf der H/W-Firewall als auch in den Flows des Routers (WAN), würde jetzt also mal denken, dass das tatsächlich so zu mit gekommen ist.
Mit fiel jetzt noch auf, dass das alles vom Format her SLAAC-Adressen sind (wegen dem fffe in der Mitte). Sieht dür mich so aus als hätte da jemand an einem ungefilterten Link einen schweren Unfall mkt seinem RA gehabt und ein kaputtes Präfix an kaputte Clients verteilt.
 
Top