演示：取证分析IPV6组播地址的构成原理

演示目标：取证IPv6环境中路由器与计算机上的组播地址、节点请求组播地址。

演示环境：如下图12.64所示。

演示背景：分别在路由器R1与IPv6的计算机上启用IPv6,并分析路由器与计算机上IPv6的组播地址及请求节点组播地址的构成。

演示步骤：

第一步：在路由器R1上启动IPv6，关于启动IPv6的指令前面的演示实验中已多次讲述，这里不再重复。需要注意：只在路由器R1的E1/0接口上通过“ipv6 enable”即可，因为R1会根据E1/0接口的MAC地址自动的产生本地链路地址。如下图12.65所示：路由器R1目前有三个组播地址，FF02::1、FF02::2、FF02::1:FF80:1C、其中FF02::1表示该链路上的所有IPv6节点类似于IPv4环境中的组播地址224.0.0.1；FF02::2表示该链路上的所有IPv6的路由器接点类似于IPv4环境中的组播地址224.0.0.2；FF02::1:FF80:1C表示请求节点的多播地址，正是这个节点组播地址替代了IPv4环境中的ARP请求协议报文中的目标IP:255.255.255.255,以提高解析MAC地址的效率。而该地址的生成则是通过单播IPv6地址的后25个二进制位填充固定请求节点组播前缀FF02::1:FF而得到，单播IPv6地址的最后24位即80:1C（完整格式为80:001C；6个十六进制字符，每个十六进制字符是4个二进制位，共计24个二进制位），这与理论完全相同。

第二步：计算机上产生IPv6组播地址与节点请求地址的原理与路由器上是一样，只是在查看结果时，不是那么直观，比如当用户在微软windows/XP/2003/2008/vista上安装IPv6协议时，计算机与路由器一样，会自动生产本地链路地址，如下图12.66所示，通过Ipconfig/all指令只能看到计算机所产生的IPv6地址，无法看到计算机上的IPv6组播地址。必须在CMD命令提示符下使用IPv6 if 4指令进行查看,该指令的作用是查看IPv6的4号ID接口的信息，为什么是4号ID，在IPv6地址中的%4已明确指出，当指令执行完成会得到如下图12.67所示的结果，计算机上也有三个组播地址：ff01::1、ff02::1、ff02::1:ff4f:4f50、其中ff01::1表示计算机本地接口范围的组播地址；ff02::1表示该链路上的所有IPv6节点类似于IPv4环境中的组播地址224.0.0.1；ff02::1:ff4f:4f50是请求节点组播地址，该地址的来源在理论部分有详细描述，这里不再重复。