我遇到了一个奇怪的问题。我的 rooter(运行 8.2.7.8 版固件的 Thomson TG585 v8)经常会自动重启。
它似乎与事件日志中的以下消息相关:
防火墙重放检查(2 个中的 1 个):协议:ICMP 源 IP:183.178.144.177 目标 IP:xxx.xxx.xxx.xxx 类型:目标不可达 代码:主机不可达
xxx.xxx.xxx.xxx
我的外部 IP 地址
183.178.144.177
决定183178144177.ctinets.com
目前有一位来自香港的学生与我们同住,重启似乎与他启动笔记本电脑的时间巧合。我之所以这么说,是因为检查ctinets.com
显示这台电脑位于香港,尽管我们客人的笔记本电脑似乎没有安装与这家公司相关的任何软件。我说“显然”是因为他运行的是中文版 Windows,而他的英语不涉及这类技术主题。
我知道这是一条来电消息,但我认为这是对学生笔记本电脑上某些内容的回应,这就是为什么首先想到的是恶意软件,但我们在所有其他机器上都安装了防病毒软件,并在他的机器上运行了 malwarebytes,结果为阴性,所以我不认为问题是由于病毒或(已知)木马造成的。
我还能做些什么来阻止这种情况并找出原因?
答案1
正如你在聊天中告诉(好吧,你证实了他的话吗?)这不是因为他的靴子,让我们进一步看看......
香港浸会大学在他们的日志中有这个 IP,你可以在页面标题中看到大学的名字。剖析 URL 后,我们发现cmtstats
目录其中提到:
User Services Section,
Office of Information Technology,
Hong Kong Baptist Univesity
这很可能是您的学生访问大学的网站;或者如果笔记本电脑/软件是通过大学提供的,则可能是某种身份验证/回话。最糟糕的情况是他被跟踪,但使用 Wireshark 和 Process Monitor 等软件,您可以检查是否发生了更多事情,而不仅仅是说“嘿”。但这一切都假设他没有访问该网站...
同样有趣的是:
FIREWALL replay check (1 of 2):
Protocol: ICMP
Src ip: 183.178.144.177
Dst ip: xxx.xxx.xxx.xxx
Type: Destination
Unreachable Code: Host Unreacheable
那不是他的笔记本电脑在和大学通话,而是大学在和他的笔记本电脑通话。ICMP 最有可能是 ping,但我不知道这个 ping 是否真的是原因。我还没有听说过像 ping 这样简单的服务可以关闭路由器。
但是,真正的问题是,这是一个请求还是一个答复,以及是否存在某种泛滥现象?
Wireshark 可以告诉您;路由器数据包监控,如果路由器具有此功能,也可以做到这一点。
假设从学生来的时候路由器没有重启,那么路由器重启的原因可能有很多。电源故障、硬件不稳定、软件不稳定……
因此,看看是否能以某种方式关联起来可能会很有趣;如果学生来了,他的笔记本电脑重新启动几次就会强制这样做,如果几次连接禁用和启用会触发它,如果它需要网络中的另一台计算机或笔记本电脑也连接起来。
另外,记录几天的事件(机器启动/关闭、路由器重启);这样也许可以让你找出规律。它可能会告诉你“可能是巧合”和“每天发生两次”之间的区别。我们的路由器有一个烦人的问题,它每天重启一次,我们还没有找到解决办法;这很烦人,但因为它在半分钟内就能重启(嗯,它运行的是 DD-WRT),所以这是可以接受的。
无论您做什么,分析并记录它,它都会加快发现原因。