Как я могу найти источник соединений с частных IP-адресов?

Question

Я - администратор домашней сети-любителя, и я стараюсь, чтобы сеть была настолько безопасной, насколько я могу это сделать. У нас есть кабельное соединение, проходящее через маршрутизатор Linksys (WRT320) с микропрограммой dd-wrt (v24-sp2 mini), блокирующей большинство входящих соединений и пересылающей несколько. Я не эксперт, поэтому я не слишком подправляю настройки. Все в основном в настройках по умолчанию с отключенными несущественными услугами.

Я просматривал журналы входящих подключений и обнаружил, что я получаю постоянные запросы на подключение, которые сбрасываются с частного IP, 10.160.0.1:bootpc (UDP) (port 68 я думаю). По названию я изначально думал, что это какой-то компьютер, пытающийся удаленно запустить компьютер в сети. Посмотрев его, я понимаю, что служба, к которой он пытается подключиться, является сервером DHCP на маршрутизаторе, но я понятия не имею, откуда поступают эти запросы.

Я делаю все это из webui для маршрутизатора, поэтому журналы довольно скромны. Это та информация, которую я вижу:

Source IP    Protocol    Destination Port Number    Rule
10.160.0.1   UDP         bootpc                     Dropped
(repeated)

Это прошивка на основе Linux, поэтому я должен быть в состоянии совать нос. Я просто не так хорош с административной стороны Linux.

Все компьютеры дома учтены. Я знаю, какие компьютеры подключены, и они не работают службы, которые они не должны быть. Беспроводная связь защищена, поэтому неизвестные компьютеры не могут подключиться к AFAIK. Я просто не знаю, как определить этот мошеннический IP.

Потенциальным источником этого может быть то, что на некоторых наших компьютерах есть программы удаленного входа (LogMeIn), поэтому мой папа может подключаться к компьютерам удаленно. Однако компьютеры выключены (или отключены), и он не использовал их так часто, как раньше. Я бы подумал, что IP-адрес показывался бы как фактический не частный адрес, если бы он все равно пытался подключиться.

У меня также есть второй беспроводной маршрутизатор, который действует как точка доступа и соединяет соединения с основным. Это Linksys WRT54GL с той же прошивкой с почти одинаковыми точными настройками, и все - маршрутизаторы и все компьютеры - находятся в одной подсети AFAIK.

Откуда эти связи?

---

Запустив tcpdump для проверки пакетов, я вижу эти записи:

root@WRT320N:/tmp# tcpdump -XX -e &> dump.txt
root@WRT320N:/tmp# cat dump.txt | grep 10.160.0.1
16:58:49.918259 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300
16:59:07.303484 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1
16:59:32.351746 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1
16:59:37.574938 00:19:2f:e5:ba:d9 (oui Unknown) > 01:00:5e:00:00:01 (oui Unknown), ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype IPv4, 10.160.0.1 > all-systems.mcast.net: igmp query v2
16:59:39.829927 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 341: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 295
16:59:40.767904 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 341: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 295
16:59:40.867497 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1
16:59:48.905628 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 341: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 295
16:59:49.132869 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1
16:59:51.378274 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 341: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 295
16:59:53.848036 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300
17:00:10.841075 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 340: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 294
17:00:12.137809 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 340: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 294
17:00:14.179802 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1
17:00:16.196078 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 340: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 294
17:00:21.349701 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300
17:00:22.445556 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1
17:00:23.366436 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300
17:00:24.162903 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 340: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 294
17:01:04.274555 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1
17:01:07.439837 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300
17:01:07.457221 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300
17:01:09.454207 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300

^{обрезан для краткости}

Я не уверен, что с этим делать, хотя. Поиск в Интернете на all-systems.mcast.net показывает, что некоторые люди тоже получают эти пакеты, но без реальных ответов, которые я мог видеть.

Answer 1

Трафик DHCP, который вы видите, является особенным в том смысле, что адрес источника будет 0.0.0.0 - не так много помощи, чтобы найти источник.

Это вряд ли что-то, о чем нужно беспокоиться - этот широковещательный трафик должен происходить каждый раз, когда устройство подключается к сети, подключается к беспроводной сети и т.д.

Если вы все еще хотите выследить его, вам нужно получить исходный MAC-адрес трафика и отследить его оттуда.

Answer 2

Трафик BOOTP/DHCP от клиента на этапе DHCPDiscover (и на этапе DHCPRequest) транслируется каждому узлу в одной физической сети (ff-ff-ff-ff-ff-ff/ 255.255.255.255), и он может приходить с любого устройства; компьютер, игровая приставка, смартфон и т. д. и т. д. В пакетах DHCPDiscover и DHCPRequest вы увидите исходный MAC-адрес клиента, поэтому вы можете отследить его, посмотрев на него.

Пакеты DHCPDiscover и DHCPRequest клиента отправляются с порта 68 на клиенте, предназначенном для порта 67 DHCP-сервера.

Пакеты DHCPOffer и DHCPAck сервера DHCP отправляются с порта 67 на сервере, предназначенном для порта 68 клиента.

Трафик, который вы видите, может исходить от клиента или сервера, в зависимости от того, какая фаза происходит, когда вы видите трафик.

Вы можете определить, является ли это сервером или клиентом, посмотрев на значение DHCP OpCode 53:

Пакеты DHCPDiscover, DHCPRequest и DHCPInform исходят от клиента.

Пакеты DHCPOffer и DHCPAck отправляются с сервера.