У меня установлен беспроводной маршрутизатор Netgear WR703N с OpenWRT 12.09 "Attitude Adjustment", подключенным к сети Ethernet моей школы, и наш ИТ-отдел отправил мне электронное письмо с предупреждением о том, что он «передает трафик с использованием IP-адресов, отличных от назначенных для его использования».
Чтобы понять проблему, я использовал WireShark (работающий на ПК с двумя мостовыми интерфейсами Ethernet) для захвата всего трафика на порт WAN маршрутизатора и с него.
Маршрутизатор настроен на выдачу адресов DHCP в 172.31.252.0/24 для своей локальной сети. Во время этого сеанса его IP-адрес в глобальной сети составляет 128.112.84.131 .Фильтр дисплея был установлен как eth.addr == [WAN MAC address] and not (ip.addr == [WAN IP]) , чтобы отфильтровать пакеты, которые исходят (или предназначены для) интерфейса WAN моего маршрутизатора, но не содержат его WAN IP-адрес. Результат выглядит следующим образом (фактические MAC-адреса отредактированы):
No. Time Source Source MAC Destination Dest MAC Protocol Length Info
3721 110.017401000 0.0.0.0 Tp-LinkT_ff:ff:ff 255.255.255.255 Broadcast DHCP 393 DHCP Discover - Transaction ID 0x6f5ef88b
3726 110.021627000 128.112.133.220 Cisco_ee:ee:ee 128.112.85.26 Tp-LinkT_ff:ff:ff ICMP 98 Echo (ping) request id=0x07ea, seq=1917/32007, ttl=253
3727 110.021831000 128.112.84.1 Cisco_ee:ee:ee 128.112.85.26 Tp-LinkT_ff:ff:ff DHCP 436 DHCP Offer - Transaction ID 0x6f5ef88b
3728 110.022513000 0.0.0.0 Tp-LinkT_ff:ff:ff 255.255.255.255 Broadcast DHCP 405 DHCP Request - Transaction ID 0x6f5ef88b
13399 511.164980000 74.125.131.139 Tp-LinkT_ff:ff:ff 100.145.36.223 Cisco_ee:ee:ee TCP 54 https > 60697 [RST] Seq=1 Win=0 Len=0
13406 511.174715000 74.125.131.188 Tp-LinkT_ff:ff:ff 100.145.36.223 Cisco_ee:ee:ee TCP 54 hpvroom > 54853 [RST] Seq=1 Win=0 Len=0
13412 511.247461000 74.125.131.188 Tp-LinkT_ff:ff:ff 100.145.36.223 Cisco_ee:ee:ee TCP 54 hpvroom > 54853 [RST] Seq=348 Win=0 Len=0
13415 511.459710000 74.125.131.139 Tp-LinkT_ff:ff:ff 100.145.36.223 Cisco_ee:ee:ee TCP 54 https > 60697 [RST] Seq=1 Win=0 Len=0
13440 511.731825000 74.125.131.188 Tp-LinkT_ff:ff:ff 100.145.36.223 Cisco_ee:ee:ee TCP 54 hpvroom > 54853 [RST] Seq=348 Win=0 Len=0
13487 512.052710000 74.125.131.139 Tp-LinkT_ff:ff:ff 100.145.36.223 Cisco_ee:ee:ee TCP 54 https > 60697 [RST] Seq=1 Win=0 Len=0
13493 512.122466000 74.125.131.188 Tp-LinkT_ff:ff:ff 100.145.36.223 Cisco_ee:ee:ee TCP 54 hpvroom > 54853 [RST] Seq=348 Win=0 Len=0
13500 512.159712000 74.125.131.139 Tp-LinkT_ff:ff:ff 100.145.36.223 Cisco_ee:ee:ee TCP 54 https > 60697 [RST] Seq=1 Win=0 Len=0
13537 512.522715000 100.145.36.223 Tp-LinkT_ff:ff:ff 74.125.131.188 Cisco_ee:ee:ee TCP 93 [TCP ACKed unseen segment] 54853 > hpvroom [FIN, PSH, ACK] Seq=1 Ack=348 Win=1357 Len=27 TSval=734000 TSecr=2909129314
13544 512.674464000 100.145.36.223 Tp-LinkT_ff:ff:ff 74.125.131.188 Cisco_ee:ee:ee TCP 189 [TCP Retransmission] 54853 > hpvroom [FIN, PSH, ACK] Seq=4294967201 Ack=348 Win=1357 Len=123 TSval=734016 TSecr=2909129314
13591 512.927091000 74.125.131.188 Tp-LinkT_ff:ff:ff 100.145.36.223 Cisco_ee:ee:ee TCP 54 hpvroom > 54853 [RST] Seq=349 Win=0 Len=0
13602 513.258968000 74.125.131.139 Tp-LinkT_ff:ff:ff 100.145.36.223 Cisco_ee:ee:ee TCP 54 https > 60697 [RST] Seq=1 Win=0 Len=0
13642 514.640598000 100.145.36.223 Tp-LinkT_ff:ff:ff 74.125.131.188 Cisco_ee:ee:ee TCP 189 [TCP ACKed unseen segment] [TCP Retransmission] 54853 > hpvroom [FIN, PSH, ACK] Seq=4294967201 Ack=349 Win=1357 Len=123 TSval=734212 TSecr=2909130121
18007 685.005464000 Cisco_ee:ee:ee Cisco_ee:ee:ee Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff ARP 60 Who has 128.112.84.131? Tell 128.112.84.1
18008 685.005643000 Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff Cisco_ee:ee:ee Cisco_ee:ee:ee ARP 60 128.112.84.131 is at ec:88:8f:ff:ff:ff
18012 685.136301000 Cisco_ee:ee:ee Cisco_ee:ee:ee Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff ARP 60 Who has 128.112.85.26? Tell 128.112.84.1
18116 689.070537000 58.17.52.14 Cisco_ee:ee:ee 128.112.85.26 Tp-LinkT_ff:ff:ff ICMP 78 Echo (ping) request id=0x300c, seq=0/0, ttl=40
19496 745.150864000 Cisco_ee:ee:ee Cisco_ee:ee:ee Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff ARP 60 Who has 128.112.85.26? Tell 128.112.84.1
30283 1224.998095000 Cisco_ee:ee:ee Cisco_ee:ee:ee Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff ARP 60 Who has 128.112.84.131? Tell 128.112.84.1
30284 1224.998246000 Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff Cisco_ee:ee:ee Cisco_ee:ee:ee ARP 60 128.112.84.131 is at ec:88:8f:ff:ff:ff
42190 1732.009084000 100.185.169.31 Tp-LinkT_ff:ff:ff 103.7.31.151 Cisco_ee:ee:ee TCP 54 58291 > https [FIN, ACK] Seq=1 Ack=1 Win=1357 Len=0
42285 1733.097086000 100.185.169.31 Tp-LinkT_ff:ff:ff 103.7.31.151 Cisco_ee:ee:ee TCP 54 [TCP Retransmission] 58291 > https [FIN, ACK] Seq=1 Ack=1 Win=1357 Len=0
42347 1735.277968000 100.185.169.31 Tp-LinkT_ff:ff:ff 103.7.31.151 Cisco_ee:ee:ee TCP 54 [TCP Retransmission] 58291 > https [FIN, ACK] Seq=1 Ack=1 Win=1357 Len=0
43141 1764.992183000 Cisco_ee:ee:ee Cisco_ee:ee:ee Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff ARP 60 Who has 128.112.84.131? Tell 128.112.84.1
43142 1764.992460000 Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff Cisco_ee:ee:ee Cisco_ee:ee:ee ARP 60 128.112.84.131 is at ec:88:8f:ff:ff:ff
55031 2304.982717000 Cisco_ee:ee:ee Cisco_ee:ee:ee Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff ARP 60 Who has 128.112.84.131? Tell 128.112.84.1
55032 2304.982956000 Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff Cisco_ee:ee:ee Cisco_ee:ee:ee ARP 60 128.112.84.131 is at ec:88:8f:ff:ff:ff
70170 2844.995066000 Cisco_ee:ee:ee Cisco_ee:ee:ee Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff ARP 60 Who has 128.112.84.131? Tell 128.112.84.1
71453 2904.997024000 Cisco_ee:ee:ee Cisco_ee:ee:ee Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff ARP 60 Who has 128.112.84.131? Tell 128.112.84.1
72688 2964.972284000 Cisco_ee:ee:ee Cisco_ee:ee:ee Tp-LinkT_ff:ff:ff Tp-LinkT_ff:ff:ff ARP 60 Who has 128.112.84.131? Tell 128.112.84.1
Как можно видеть, пакеты 13399-13642 и 42190-42347 действительно произошли от моего маршрутизатора и имеют IP-адрес источника, отличный от назначенного IP-адреса WAN. Оба пакета пакетов сработали, когда мой телефон Android, подключенный к другой беспроводной сети, переключился на беспроводную сеть маршрутизатора. (Эта другая беспроводная сеть назначает IP с 10.8.*.* .) Во второй раз, когда это произошло, я смотрел на телефон и заметил, что сигнальные полосы кратковременно мигают "H", когда устанавливается соединение WiFi, поэтому при переключении WiFi телефон выглядит подключенным к сотовой сети передачи данных на долю секунды. сетей.
Я также попытался по-разному переключаться между беспроводной сетью маршрутизатора, другой беспроводной сетью и сотовой связью, но не могу надежно инициировать недействительные пакеты.
Прочитав некоторые источники в Интернете о "утечке NAT", я поместил следующую команду в свой сценарий брандмауэра перед записью и проверил ее наличие в iptables -t filter -L , но это не помогло.
iptables -t filter -I FORWARD -o wan -m conntrack --ctstate INVALID -j DROP
Итак, мои вопросы:
Как и почему это произошло? Откуда эти пакеты? Как я должен исследовать это дальше?
Как я могу предотвратить выход этих пакетов из интерфейса WAN?
Пожалуйста, скажите мне, если вам нужна дополнительная информация.