我是一名业余家庭网络管理员,我正在努力确保网络尽可能安全。我们有一个有线连接,通过 Linksys 路由器 (WRT320),dd-wrt 固件 (v24-sp2 mini) 阻止大多数传入连接并转发一些。我不是专家,所以我没有过多调整设置。一切基本都处于默认设置,非必要服务已禁用。
我一直在查看传入的连接日志,发现我不断收到来自私有 IP 的连接请求10.160.0.1:bootpc (UDP)(port 68我认为)。从名称来看,我最初以为是某台计算机试图远程启动网络中的计算机。查找后,我的理解是它试图连接的服务是路由器上的 DHCP 服务器,但我不知道这些请求来自哪里。
我通过路由器的 WebUI 执行所有这些操作,因此日志非常简单。我看到的信息类型如下:
Source IP Protocol Destination Port Number Rule
10.160.0.1 UDP bootpc Dropped
(repeated)
这是基于 Linux 的固件,所以我应该能够了解一下。只是我对 Linux 的管理方面不太在行。
家里的所有电脑都已记录在案。我知道哪些电脑已连接,并且它们没有运行不该运行的服务。无线网络是安全的,所以据我所知没有未知的电脑可以连接。我只是不知道如何识别这个恶意 IP。
一个潜在的来源可能可能的原因是我们的一些计算机有远程登录程序 (LogMeIn),所以我爸爸可以远程连接到计算机。但是,计算机已关闭(或已禁用),他不再像以前那样频繁地使用它。我原以为如果他尝试连接,IP 地址会显示为实际的非私有地址。
我还有第二个无线路由器,它充当接入点,并将连接桥接到主路由器。它是 Linksys WRT54GL,使用相同的固件,设置也几乎完全相同,而且据我所知,所有东西(路由器和所有计算机)都位于同一子网中。
这些联系从何而来?
运行tcpdump检查数据包,我看到以下条目:
root@WRT320N:/tmp# tcpdump -XX -e &> dump.txt root@WRT320N:/tmp# cat dump.txt | grep 10.160.0.1 16:58:49.918259 00:19:2f:e5:ba:d9(oui 未知)> 广播,以太网类型 802.1Q(0x8100),长度 346:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:300 16:59:07.303484 00:19:2f:e5:ba:d9(oui 未知)> 广播,以太网类型 802.1Q(0x8100),长度 64:vlan 2,p 0,以太网类型 ARP,arp who-has 10.160.1.49 tell 10.160.0.1 16:59:32.351746 00:19:2f:e5:ba:d9(oui 未知)> 广播,以太网类型 802.1Q(0x8100),长度 64:vlan 2,p 0,以太网类型 ARP,arp who-has 10.160.1.49 tell 10.160.0.1 16:59:37.574938 00:19:2f:e5:ba:d9 (oui 未知) > 01:00:5e:00:00:01 (oui 未知),以太网类型 802.1Q (0x8100),长度 64:vlan 2,p 0,以太网类型 IPv4,10.160.0.1 > all-systems.mcast.net:igmp 查询 v2 16:59:39.829927 00:19:2f:e5:ba:d9(oui 未知)> 广播,以太网类型 802.1Q(0x8100),长度 341:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:295 16:59:40.767904 00:19:2f:e5:ba:d9(oui 未知)> 广播,以太网类型 802.1Q(0x8100),长度 341:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:295 16:59:40.867497 00:19:2f:e5:ba:d9(oui 未知)> 广播,以太网类型 802.1Q(0x8100),长度 64:vlan 2,p 0,以太网类型 ARP,arp who-has 10.160.1.49 tell 10.160.0.1 16:59:48.905628 00:19:2f:e5:ba:d9(oui 未知)> 广播,以太网类型 802.1Q(0x8100),长度 341:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:295 16:59:49.132869 00:19:2f:e5:ba:d9(oui 未知)> 广播,以太网类型 802.1Q(0x8100),长度 64:vlan 2,p 0,以太网类型 ARP,arp who-has 10.160.1.49 tell 10.160.0.1 16:59:51.378274 00:19:2f:e5:ba:d9(oui 未知)> 广播,以太网类型 802.1Q(0x8100),长度 341:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:295 16:59:53.848036 00:19:2f:e5:ba:d9(oui 未知)> 广播,以太网类型 802.1Q(0x8100),长度 346:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:300 17:00:10.841075 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 340:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:294 17:00:12.137809 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 340:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:294 17:00:14.179802 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 64:vlan 2,p 0,以太网类型 ARP,arp who-has 10.160.1.49 tell 10.160.0.1 17:00:16.196078 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 340:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:294 17:00:21.349701 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 346:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:300 17:00:22.445556 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 64:vlan 2,p 0,以太网类型 ARP,arp who-has 10.160.1.49 tell 10.160.0.1 17:00:23.366436 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 346:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:300 17:00:24.162903 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 340:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:294 17:01:04.274555 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 64:vlan 2,p 0,以太网类型 ARP,arp who-has 10.160.1.49 tell 10.160.0.1 17:01:07.439837 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 346:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:300 17:01:07.457221 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 346:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:300 17:01:09.454207 00:19:2f:e5:ba:d9 (oui 未知) > 广播,以太网类型 802.1Q (0x8100),长度 346:vlan 2,p 0,以太网类型 IPv4,10.160.0.1.bootps > 255.255.255.255.bootpc:BOOTP/DHCP,回复,长度:300
简洁
但我不确定该怎么解释。在网上搜索后all-systems.mcast.net发现很多人也收到了这些包裹,但我没有看到真正的答案。
答案1
您看到的 DHCP 流量很特殊,因为源地址0.0.0.0对于查找源来说没有太大的帮助。
这不太可能是任何需要担心的事情——这种广播流量应该在设备连接到网络、加入无线网络等时发生。
如果您仍想追查它,您将需要获取流量的源 MAC 地址,然后从那里进行追踪。
答案2
在 DHCPDiscover 阶段(以及在 DHCPRequest 阶段),来自客户端的 BOOTP/DHCP 流量会被广播到同一物理网络 (ff-ff-ff-ff-ff-ff/255.255.255.255) 上的每个节点,并且该流量可能来自任何设备:计算机、游戏机、智能手机等。在 DHCPDiscover 和 DHCPRequest 数据包中,您将看到客户端的源 MAC 地址,因此您可以通过查看该地址来追踪它。
客户端的 DHCPDiscover 和 DHCPRequest 数据包源自客户端的端口 68,目的地是 DHCP 服务器的端口 67。
DHCP 服务器的 DHCPOffer 和 DHCPAck 数据包源自服务器的端口 67,目的地为客户端的端口 68。
您看到的流量可能来自客户端或服务器,具体取决于您看到流量时发生的阶段。
您可以通过查看 DHCP OpCode 53 值来确定它是服务器还是客户端:
DHCPDiscover、DHCPRequest 和 DHCPInform 数据包源自客户端。
DHCPOffer 和 DHCPAck 数据包源自服务器。