我在 wireshark 和其他网络监控中注意到了一些虚假 IP 地址。阻止所有 IP 地址而不是一次阻止每个 IP 地址的最简单方法是什么?例如,当我运行
ip route show | grep ppp0
我得到 10.20.22.137 作为其中一个连接。
答案1
简短回答
听起来你的电脑和 DSL 调制解调器(或其他类似的 PPPoE 设备)之间没有外围设备。如果是这种情况,解决你的问题最简单的办法就是买一个便宜的路由器,把它插在你的电脑和 PPPoE 连接之间。(如果你想要一个便宜的专业级路由器,我听说这个。
当您设置路由器时,我强烈建议您不要将其插入互联网连接,直到您先将其连接到计算机、登录控制面板并更改默认密码。
作为立即的临时解决方案,直到您可以安装路由器,您可以通过sudo ufw enable从终端运行在笔记本电脑上启用 ufw(unix 防火墙)。
更详细的解释
PPPoE 设备(如 DSL 调制解调器)通常不执行任何数据包检查。它们是与提供商网络的直接连接。您说“我的网络上没有其他东西(或者不应该有)”,但您很可能误解了本地网络的构成。您直接接入 ISP 的网络,并且与他们所有其他客户位于同一个 LAN 上。(这样做非常不安全,而且不明智,原因不止您遇到的问题。)
如果您运行hostname -I它,它将显示您的网络地址。我猜它会是类似 10.20.xx.xx 之类的地址,这意味着您看到的“bogon”地址实际上是网络邻居。尝试这样做:ping 10.20.22.137例如,ping 一些您通过运行看到的地址。如果您收到响应,则意味着与您位于同一本地网络上的另一台计算机具有该地址。(如果您没有从第一次尝试中获得响应,则设备可能处于离线状态。尝试几个以获得更好的结果。)
如果你更加好奇,一个名为的程序arp-scan会向你显示与你在同一网络上的所有其他设备的列表。更多信息这里。与您处于同一网络上的其他设备可能有数百台(甚至数千台)。(被警告不过,您的 ISP 可能不喜欢您运行 arp-scan,因为该工具通常仅由网络管理员和黑客使用,因此他们可能会将您标记为潜在黑客。使用它需要您自担风险。)
您所看到的大多数“恶意”流量可能实际上来自您的网络邻居,他们的计算机已感染病毒,并且他们的计算机在不知情的情况下攻击您的计算机。
安装外围设备(例如路由器)将阻止所有恶意流量到达您的计算机,因为路由器只会转发您的计算机请求的流量。如果您需要允许某些未经请求的流量(例如,如果您托管了 Web 服务器),您将需要一个比这更复杂的解决方案,这将涉及端口转发和设置自定义 host.deny 规则,但安装外围设备仍然是第一步。
答案2
请尝试以下步骤:
1 - 首先,安装名为‘ipset’阻止一组 IP 地址:
sudo aptitude install ipset
2-创建一个用“集合名称”和“指定类型”标识的集合:
sudo ipset create bogons nethash
这里,“bogon”是集合名称,“nethash”是类型。
3-向集合中添加条目:
Eg. sudo ipset --add bogons x.x.x.x/24
4 – 接下来,使用 iptables 规则丢弃这些 ipset 的传出和传入数据包:
sudo iptables -A INPUT -m set --match-set bogons src -j DROP
sudo iptables -A INPUT -m set --match-set bogons dst -j DROP
5 – 然后添加 iptables 规则以删除来自这些 ipset 的数据包转发(如果使用你的机器作为路由器):
sudo iptables -A FORWARD -m set --match-set bogons src -j DROP
sudo iptables -A FORWARD -m set --match-set bogons dst -j DROP
6 – 检查当前的 iptables 规则:
sudo iptables -L
7 – 检查你的 IP 集列表:
sudo ipset list
8 - 查看手册页以获取有关“iptables”和“ipset”的更多信息。