Table des matières
Même exemple, mais avec IPv6
Nous faisons ici exactement la même manipulation que dans l'exemple précédent, mais en utilisant ici IPv6.
Notre réseau local version 6
Chaque nœud dispose d'une adresse de type «lien local» et d'une adresse globale V6 dans la délégation 2a01:e0a:875:b1d0::/64. La Box ne présente côté LAN qu'une adresse de type «lien local» ce qui est suffisant pour assurer le routage, comme nous allons le voir.
Là encore, le client va chercher à récupérer la page d'accueil de demo.nain-t.net
.
Analyse de l'enregistrement
Première recherche de voisinage
1 fe80::5054:ff:fe6b:1096 ff02::1:ffdf:a1f0 ICMPv6 Neighbor Solicitation for fe80::1a31:bfff:fedf:a1f0 from 52:54:00:6b:10:96 2 fe80::1a31:bfff:fedf:a1f0 fe80::5054:ff:fe6b:1096 ICMPv6 Neighbor Advertisement fe80::1a31:bfff:fedf:a1f0 is at 18:31:bf:df:a1:f0Ici encore, la station de travail vient de se réveiller.
- elle recherche alors l'adresse MAC du serveur DNS dont elle connaît l'adresse IPv6 «scope link» en utilisant ici une fonction particulière du protocole icmp v6: « Neighbor Solicitation» pour interroger l'adresse multicast
ff02::1:ffdf:a1f0
. Nous verrons plus loin les propriétés des adresses multicast. - Le serveur répond alors à la station de travail avec un autre message icmp v6: «Neighbor Advertisement» pour lui communiquer son adresse MAC.
Ici, le protocole arp
vu en ipv4 a été abandonné au profit de messages ICMPV6 particuliers en utilisant:
- une adresse multicast pour la question,
- les adresses ipv6 «scope link» pour les échanges IP une fois la relation adresse IPv6-adresse MAC établie des deux côtés. Il est en effet cohérent d'utiliser le «scope link» pour établir la relation avec les adresses MAC, les deux n'étant signifiantes qu'au sein du réseau local.
Résolution de la cible
3 fe80::5054:ff:fe6b:1096 fe80::1a31:bfff:fedf:a1f0 DNS Standard query 0x0720 A demo.nain-t.net 4 fe80::5054:ff:fe6b:1096 fe80::1a31:bfff:fedf:a1f0 DNS Standard query 0xc326 AAAA demo.nain-t.net 5 fe80::1a31:bfff:fedf:a1f0 fe80::5054:ff:fe6b:1096 DNS Standard query response 0x0720 A demo.nain-t.net 51.68.121.59 6 fe80::1a31:bfff:fedf:a1f0 fe80::5054:ff:fe6b:1096 DNS Standard query response 0xc326 AAAA demo.nain-t.net 2001:41d0:305:2100::2cd5
- Les adresses utilisées pour le dialogue avec le serveur DNS local sont bien sûr de type «scope link»,
- les requêtes DNS concernent aussi bien les adresses IPv4 qu' IPv6, le client disposant cette fois-ci de la double pile IP.
- La réponse IPv6 étant naturellement de type «scope global»
Établissement de la connexion TCP avec la cible
7 2a01:e0a:875:b1d0:5054:ff:fe6b:1096 2001:41d0:305:2100::2cd5 TCP 44694 → 80 [SYN] ...
Car il est évident que la cible n'est pas dans le même réseau que le client…
Lorsque la station de travail démarre, le système opère une recherche du voisinage «network discovery» à coups de messages ICMP bien sentis et ceci l'informe entre autres choses de l'adresse MAC de la passerelle, comme nous verrons ceci un peu plus loin.
Bien entendu, si l'on regardait dans la trame 7 ce qu'il se passe sur le couche Ethernet, nous retrouvons bien:
Ethernet II, Src: ASUSTekC_2d:74:e6 (1c:b7:2c:2d:74:e6), Dst: FreeboxS_86:ec:02 (68:a3:78:86:ec:02)Le reste est complètement similaire au dialogue IPv4, HTTP utilisant TCP:
8 2001:41d0:305:2100::2cd5 2a01:e0a:875:b1d0:5054:ff:fe6b:1096 TCP 80 → 44694 [SYN, ACK] ... 9 2a01:e0a:875:b1d0:5054:ff:fe6b:1096 2001:41d0:305:2100::2cd5 TCP 44694 → 80 [ACK] ... 10 2a01:e0a:875:b1d0:5054:ff:fe6b:1096 2001:41d0:305:2100::2cd5 HTTP GET / HTTP/1.1 11 2001:41d0:305:2100::2cd5 2a01:e0a:875:b1d0:5054:ff:fe6b:1096 TCP 80 → 44694 [ACK] ... 12 2001:41d0:305:2100::2cd5 2a01:e0a:875:b1d0:5054:ff:fe6b:1096 HTTP HTTP/1.1 200 OK (text/html) 13 2a01:e0a:875:b1d0:5054:ff:fe6b:1096 2001:41d0:305:2100::2cd5 TCP 44694 → 80 [ACK] ... 14 2a01:e0a:875:b1d0:5054:ff:fe6b:1096 2001:41d0:305:2100::2cd5 TCP 44694 → 80 [FIN, ACK] ... 15 2001:41d0:305:2100::2cd5 2a01:e0a:875:b1d0:5054:ff:fe6b:1096 TCP 80 → 44694 [FIN, ACK] ... 16 2a01:e0a:875:b1d0:5054:ff:fe6b:1096 2001:41d0:305:2100::2cd5 TCP 44694 → 80 [ACK] ...
v6 vs v4
Vu du côté de l'utilisateur, il n'y a aucune différence. Du côté de l'administrateur, la principale différence est que le protocole ARP, qui présente de nombreuses failles de sécurité, a été abandonné au profit de messages ICMP dédiés à la recherche des adresses MAC des éléments du réseau local.
Pour ce qui est de la sécurité des éléments du LAN, les nœuds disposant désormais d'une adresse «scope global» c'est-à-dire directement accessibles depuis l'extérieur. Il n'y a plus de masquage d'adresse au niveau de la passerelle et peuvent donc plus facilement être attaqués.