2

За последние 4 недели я заметил, что индикаторы моего маршрутизатора и модема постоянно мигают:

Индикаторы маршрутизатора и модема постоянно мигают

Маршрутизатор - это Linksys WRT160NL, работающий под управлением DD-WRT v24-sp2 (20.07.12), а модем - Cisco DPC3825. Модем также способен выполнять маршрутизацию, но я отключил его, чтобы он находился в режиме моста.

У меня также есть два сервера Linux в моей сети. Один работает под Asterisk, а другой - веб-сервер.

Изначально сервер звездочки находился в демилитаризованной зоне, но я вынул его из-за подозрительного трафика. Вместо этого я перенаправил группу портов на сервер Asterisk и порт 80 на веб-сервер. После этого я начал замечать кучу ошибок в журналах веб-сервера:

192.168.1.1 - - [05/Mar/2013:12:49:10 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:12 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:23 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:33 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:38 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:40 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:42 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:44 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"

Примечание. В данном случае 192.168.1.1 - это IP-адрес моего маршрутизатора (не реальный, но вы поняли).

Чтобы проверить мои подозрения, я отключил переадресацию портов на веб-сервер (порт 80), и журналы ошибок остановились. Итак, я пришел к выводу, что трафик идет из-за пределов моей сети.

РЕДАКТИРОВАТЬ: я отключил все, кроме модема и маршрутизатора, и все же светодиоды все еще мигают. Они останавливаются, только если я отсоединяю кабель от роутера к модему.

Любые идеи, как я могу определить источник трафика и, надеюсь, остановить его?

EDIT2: мне удалось включить журналы брандмауэра и получил тысячи отброшенных пакетов с того же IP:

2013-03-05T15:21:30-05:00 my.local.domain.com kernel: [1403284.570000] DROP IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=68.71.197.69 DST=xx.xx.xx.xx LEN=200 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=12882 DPT=4032 LEN=180

3 ответа3

4

К сожалению, такие попытки вполне нормальны, это всего лишь фоновый шум сети, и нет никакого реального способа остановить его в общем виде. Вам просто нужно убедиться, что вещи, которые вы делаете доступными снаружи, защищены. Такие инструменты, как fail2ban, могут помочь предотвратить широкие попытки атаковать множество различных URL-адресов (или попыток подключения по SSH и т.д.).

2

Как уже упоминали другие, внешний маршрутизатор может сказать вам, кто обходит его, чтобы попасть на ваш веб-сервер (я не уверен, как работает это конкретное устройство Linksys, но он не должен портить исходный адрес запросов. Если он не выполняет "стандартный" NAT - в любом случае он должен поддерживать таблицу сопоставления, особенно если он играет по доверенности).

Так как проблема исчезает, когда вы отключаете переадресацию портов, я могу думать о двух возможностях:

  1. Кто-то в вашей кабельной сети слепо ищет wpad.dat .
    Это может быть злонамеренно, или они могут просто иметь поврежденное мозгом устройство в своей среде. Ваш маршрутизатор просто передает запрос (хотя я не понимаю, почему это изменило бы исходный IP).

  2. Ваш роутер пытается получить wpad.dat с вашего веб-сервера.
    Я не могу понять причину этого - я бы посчитал, что это серьезный сбой в прошивке Linksys. Однако, чтобы быть в безопасности, проверьте настройки прокси в вашем маршрутизаторе и убедитесь, что они выключены / отключены.


Не ожидайте , что это вылечить непрерывное мигание лампочек вашего модема , хотя --- что это нормальный фоновый шум в Интернете (там всегда будет трафик подпрыгивая на вашем модеме, особенно если у Вас работает веб - сервер и люди тыкают на него).
Пока вы разгадываете тайну, с которой вы сейчас сталкиваетесь (и ничего больше необычного не появляется в журналах), фоновый шум обычно можно игнорировать.

0

С помощью этой статьи и этой статьи мне удалось включить журналы брандмауэра и получить тысячи отброшенных пакетов с одного и того же IP:

2013-03-05T15:21:30-05:00 my.local.domain.com kernel: [1403284.570000] DROP IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=68.71.197.69 DST=xx.xx.xx.xx LEN=200 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=12882 DPT=4032 LEN=180

РЕДАКТИРОВАТЬ После дальнейшего исследования, кажется, что сообщения журнала wpad были связаны с мигающими огнями. Я снова включил переадресацию портов на веб-сервер, и сообщения больше не появлялись.

Затем я посмотрел IP-адрес, который дал мне имя хостинговой компании под названием Fusepoint Managed Services . Далее я позвонил в компанию и сообщил о проблеме. Представитель службы был очень полезен и проверил, что IP действительно был в их сети. Она обещала перезвонить мне, когда проблема будет решена.

Надеюсь, что это помогает кому-то еще там.

Спасибо @ voretaq7

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .