За последние 4 недели я заметил, что индикаторы моего маршрутизатора и модема постоянно мигают:
Маршрутизатор - это Linksys WRT160NL, работающий под управлением DD-WRT v24-sp2 (20.07.12), а модем - Cisco DPC3825. Модем также способен выполнять маршрутизацию, но я отключил его, чтобы он находился в режиме моста.
У меня также есть два сервера Linux в моей сети. Один работает под Asterisk, а другой - веб-сервер.
Изначально сервер звездочки находился в демилитаризованной зоне, но я вынул его из-за подозрительного трафика. Вместо этого я перенаправил группу портов на сервер Asterisk и порт 80 на веб-сервер. После этого я начал замечать кучу ошибок в журналах веб-сервера:
192.168.1.1 - - [05/Mar/2013:12:49:10 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:12 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:23 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:33 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:38 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:40 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:42 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:44 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
Примечание. В данном случае 192.168.1.1
- это IP-адрес моего маршрутизатора (не реальный, но вы поняли).
Чтобы проверить мои подозрения, я отключил переадресацию портов на веб-сервер (порт 80), и журналы ошибок остановились. Итак, я пришел к выводу, что трафик идет из-за пределов моей сети.
РЕДАКТИРОВАТЬ: я отключил все, кроме модема и маршрутизатора, и все же светодиоды все еще мигают. Они останавливаются, только если я отсоединяю кабель от роутера к модему.
Любые идеи, как я могу определить источник трафика и, надеюсь, остановить его?
EDIT2: мне удалось включить журналы брандмауэра и получил тысячи отброшенных пакетов с того же IP:
2013-03-05T15:21:30-05:00 my.local.domain.com kernel: [1403284.570000] DROP IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=68.71.197.69 DST=xx.xx.xx.xx LEN=200 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=12882 DPT=4032 LEN=180