Я наблюдаю странную активность на моем основном маршрутизаторе (единственном маршрутизаторе, подключенном к модему ISP) с одного устройства Android. Вполне возможно, что я никогда не видел этого раньше, так как день близится к концу, и большинство всех ушли, а этот человек из техобслуживания - единственный человек в сети. Однако то, что я вижу, не имеет смысла для меня в контексте того, что NAT должен делать для клиентских устройств, по крайней мере, насколько я понимаю. Я впервые обращаю внимание на таблицу NAT.
Итак, сегодня утром у меня возникли проблемы с подключением к устройству, подключенному к основному маршрутизатору (через основной коммутатор к другому коммутатору). Пришлось перезагрузить роутер и переключиться. После того, как все было сделано в течение дня, мне пришлось сделать то же самое снова, чтобы выключить устройство. Это то, что заставило меня взглянуть на таблицу NAT на основном маршрутизаторе, чтобы найти какой-то ключ к пониманию того, что вызвало временное прерывание. Основной маршрутизатор модифицирован DD-WRT, и я смог подключиться к нему через telnet и отследить таблицу.
Я нашел иностранный частный IP-адрес в таблице! Основной маршрутизатор имеет диапазон адресов локальной сети 192.168.1.1/255 . У меня есть два других маршрутизатора (на самом деле 5, но только два других были вовлечены в это действие), подключенных к первичному коммутатору и имеющие адрес на стороне LAN 192.168.2.1/255 и 192.168.4.1/255 . Первый раз я нашел 192.168.2.108 ! Я вошел на страницу удаленного администрирования маршрутизатора и обнаружил, что он был назначен на телефон Android, подключенный по беспроводной сети. Я заблокировал MAC-адрес телефона и ждал, чтобы увидеть, кто это был (когда они приходят ко мне, чтобы пожаловаться на подключение.) Прождал час и никто не жаловался.
Позже я проверил еще раз и нашел другой иностранный IP-адрес, но на этот раз это был 192.168.4.30 ! Поэтому я подключился к маршрутизатору, с которого поступил IP-адрес, и обнаружил, что он был с того же телефона Android. Я вспомнил, что у парня по обслуживанию есть телефон на Android, поэтому я спросил его напрямую и обнаружил, что это действительно его телефон.
В первый раз, когда я заметил это, это было соединение с IP-адресом в Китае. Во второй раз это было соединение с сервером Amazon EC2. Я не записал первый экземпляр, но у меня еще есть второй:
tcp 6 1096 ESTABLISHED src=192.168.4.30 dst=23.21.225.144 sport=53993 dport=443 packets=9 bytes=1131 [UNREPLIED] src=23.21.225.144 dst=192.168.4.30 sport=443 dport=53993 packets=0 bytes=0 mark=0 use=2
Помните, эта запись поступила от модифицированного маршрутизатора DD-WRT с диапазоном IP-адресов на стороне локальной сети 192.168.1.1/255 .
Это редкая, но нормальная активность или это может указывать на взломанный телефон Android?
Редактировать:
Топология сети довольно проста. Основной маршрутизатор - это единственный маршрутизатор, подключенный к модему ISP с включенным NAT и DHCP, и по различным причинам он имеет модификацию DD-WRT. Все остальные маршрутизаторы также имеют включенные NAT и DHCP (со своими собственными подсетями по разным причинам) и подключены (через главный коммутатор) к основному маршрутизатору. Тройных NAT нет. Все маршрутизаторы имеют некоммерческий серийный (жилой) класс. Когда я показываю IP/255 , я имею в виду подсеть класса C по умолчанию для диапазонов частных IP-адресов на стороне LAN; т.е. 192.168.1.1/255 = 192.168.1.1-192.168.1.255 . Извините за путаницу, терминология и обозначения моей сети устарели.