В течение довольно долгого времени брандмауэр моей машины обнаруживал странные пакеты, по-видимому, исходящие от моего маршрутизатора. Я не могу объяснить это поведение. Я подозреваю, что каким-то образом злоумышленник извне осуществляет контрабанду этих пакетов путем подмены исходного IP-адреса или взлома моего маршрутизатора, но мне нужно подтвердить это. Или, может быть, маршрутизатор предварительно настроен для этого производителем?

Если у кого-то есть идея, в чем может быть причина, я был бы очень благодарен.

Конфиг: Маршрутизатор /RR.RR.RR.RR - Arris WTM652B (я думаю, что это Touchstone под капотом), брандмауэр включен.

Мой хост /MM.MM.MM.MM с iptables

Я получаю два типа неожиданных пакетов:

  • DST порт 137 (NetBIOS) пакеты, поступающие с IP-адреса маршрутизатора. У маршрутизатора есть какие-то странные "дополнения" с NetBIOS, или это посторонний?
  • Неверные незапрошенные пакеты с !!?? !! Порт SRC = 443, поступающий с разных IP-адресов, выделенных Google Inc. Может ли это быть попыткой взлома? Кто-то (возможно, Google?) пытаетесь пройти через мой брандмауэр через динамические правила на моем брандмауэре (когда я ищу в Google, эти правила пробивают дыру, и кто-то пытается проникнуть через эту дыру)?

Вот образец:

Apr 27 10:55:38 notebook kernel: iptables REJECT input: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=RR.RR.RR.RR DST=MM.MM.MM.MM LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=4108 PROTO=UDP SPT=2092 DPT=137 LEN=58 
Apr 27 10:55:42 notebook kernel: iptables REJECT input: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=RR.RR.RR.RR DST=MM.MM.MM.MM LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=4109 PROTO=UDP SPT=2092 DPT=137 LEN=58 
Apr 27 10:55:49 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=216.58.212.4 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=58408 PROTO=TCP SPT=443 DPT=53474 WINDOW=0 RES=0x00 RST URGP=0 
Apr 27 10:55:50 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=216.58.201.195 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=32104 PROTO=TCP SPT=443 DPT=34440 WINDOW=0 RES=0x00 RST URGP=0 
Apr 27 10:58:27 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=172.217.20.142 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=16097 PROTO=TCP SPT=443 DPT=38786 WINDOW=0 RES=0x00 RST URGP=0

Есть идеи, что здесь происходит?

Очень спасибо, mbax

|источник

2 ответа2

0

Я не буду беспокоиться о запросе имени NetBIOS, поступающем от моего маршрутизатора.

Я видел много маршрутизаторов, которые, когда вы входите в их параметры фильтрации MAC (или любой параметр, который работает с использованием MAC-адресов), также будут показывать имя NetBIOS, установленное на этом ПК. Это облегчает определение того, какие машины принадлежат вам в сети, и ограничивает их при необходимости.

Если вы все еще не уверены, то я бы пошел на grc.com и использовал их Shields Up! инструменты для сканирования ваших портов и убедитесь, что порт 137 закрыт на интернет-стороне вашего маршрутизатора. Таким образом, вы можете быть уверены, что пакеты проверки имени приходят от самого маршрутизатора, а не от Интернета в целом.

|источник
0

Я нашел очень похожую ветку с очень понятным ответом:

Как примечание, я вижу такое поведение на некоторых из моих серверов с определенными диапазонами IP-адресов. Все они являются пакетами RST, которые отправляются, потому что ротация DNS некоторых обычно используемых веб-сервисов содержит IP-адреса, которые на самом деле не работают.

Напомним, что, вероятно, происходит из-за кластеров Google и изменения IP-адресов, а также многочисленных запросов javascript через AJAX. Некоторые из этих серверов Google, вероятно, не работают и отправляют RST (после переключения IP?)

Другая возможность - неправильная настройка в правилах брандмауэра или ошибка брандмауэра. Я использовал официальное руководство по настройке iptables и использовал правила почти 1:1, так что это не должно быть так, но кто знает?

И третье - это может быть незапрошенный пакет, отправленный непосредственно на мой маршрутизатор с IP-адресом SRC = IP-адрес маршрутизатора и IP-адресом DST = IP-адрес моего устройства. Маршрутизатор может быть настолько глуп, чтобы не отбрасывать эти недопустимые пакеты. Я был бы удивлен, если бы это было так.

Если у кого-то есть лучшее объяснение, пожалуйста, помогите.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .