IPv4なネットワークで謎の大量のICMP6, router solicitationが観察され、通信障害まで発展。以下のようなパケットが25,000回/秒以上流れている。
12:42:39.420634 IP6 fe80::219:d1ff:fexx:yyzz > ff02::2: ICMP6, router solicitation, length 16
12:42:39.420754 IP6 fe80::219:d1ff:fexx:yyzz > ff02::2: ICMP6, router solicitation, length 16
12:42:39.420757 IP6 fe80::219:d1ff:fexx:yyzz > ff02::2: ICMP6, router solicitation, length 16
で、IPv6アドレスってベンダーコードを含んでたよなうなというおぼろげな記憶を元に調査。どうやら、最後の8バイトの4,5バイト目が「FF FE」となっている場合、その2バイトを取り除いて1バイト目の第2ビットを落としたものがMACアドレスになるということらしい。
上の例で言うと、「219:d1ff:fexx:yyzz」-(ff:fe削除)->「02:19:d1:xx:yy:zz」-(1バイト目の第2ビットを落とす)->「00:19:d1:xx:yy:zz」(これがMACアドレス)となり、IEEE OUI and Company_id Assignmentsなどで調べれば、IntelのNICであるということが分かる。あとは地道に。
参考:
Microsoft「IPv6 のインターフェイス識別子」
NETWORK:STUDY「IPv6アドレスの構造 その4 インタフェースID」