在过去的 4 周里,我注意到我的路由器和调制解调器指示灯持续闪烁:
路由器是Linksys WRT160NL跑步DD-WRT v24-sp2 (07/20/12) 标准调制解调器是思科 DPC3825。调制解调器也具有路由功能,但我将其关闭,因此它处于桥接模式。
我的网络中还有两台 Linux 服务器。一台运行 Asterisk,另一台是 Web 服务器。
最初,Asterisk 服务器位于 DMZ 中,但由于流量可疑,我将其移除。相反,我将一堆端口转发到 Asterisk 服务器,并将端口 80 转发到 Web 服务器。此后,我开始在 Web 服务器日志中注意到一堆错误:
192.168.1.1 - - [05/Mar/2013:12:49:10 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:12 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:23 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:33 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:38 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:40 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:42 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:44 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
注意:192.168.1.1在这种情况下是我的路由器的 IP(不是真正的,但你明白了)。
为了验证我的怀疑,我关闭了到 Web 服务器(端口 80)的端口转发,错误日志停止了。因此,我得出结论,流量来自我的网络外部。
编辑:我断开了除调制解调器和路由器之外的所有连接,但指示灯仍在闪烁。只有当我断开从路由器到调制解调器的电缆时,指示灯才会停止闪烁。
有什么想法可以让我确定流量的来源并希望阻止它?
编辑2:我设法启用了防火墙日志,并从同一 IP 获得了数千个丢弃的数据包:
2013-03-05T15:21:30-05:00 my.local.domain.com kernel: [1403284.570000] DROP IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=68.71.197.69 DST=xx.xx.xx.xx LEN=200 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=12882 DPT=4032 LEN=180
答案1
不幸的是,这种尝试完全正常,它只是网络的背景噪音,没有真正的方法可以普遍阻止它。你只需要确保你向外部提供的东西是安全的。fail2ban 等工具可以帮助防止对大量不同 URL 进行广泛攻击(或 SSH 连接尝试等)。
答案2
正如其他人提到的,最外层的路由器可以告诉您谁正在穿越它来访问您的 Web 服务器(我不确定这个特定的 Linksys 设备是如何工作的,但它不应该干扰请求的源地址。如果是这样,它就不会执行“标准”NAT——无论如何它都必须维护一个映射表,特别是如果它正在播放代理)。
由于关闭端口转发后问题就会消失,所以我可以想到两种可能性:
有线网络上的某个人正在盲目地寻找
wpad.dat。
这可能是恶意的,也可能是他们环境中的设备出了问题。您的路由器只是在传递请求(虽然我不明白它为什么会更改源 IP)。您的路由器正在尝试
wpad.dat从您的 Web 服务器获取数据。
不过,我无法理解这背后的原因——我认为 Linksys 固件存在严重问题。不过,为了安全起见,请检查路由器中的代理设置,并确保它们已关闭/禁用。
不过,不要指望这能解决调制解调器灯持续闪烁的问题——是互联网的正常背景噪音(调制解调器上总会有流量跳来跳去,特别是当您正在运行 Web 服务器并且有人对其进行攻击时)。
只要您解决了当前面临的谜团(并且日志中没有出现任何其他异常),通常就可以忽略背景噪音。
答案3
在...的帮助下本文 和本文之后,我设法启用了防火墙日志,并从同一 IP 中获得了数千个丢弃的数据包:
2013-03-05T15:21:30-05:00 my.local.domain.com kernel: [1403284.570000] DROP IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=68.71.197.69 DST=xx.xx.xx.xx LEN=200 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=12882 DPT=4032 LEN=180
编辑经过进一步调查,日志消息似乎wpad与闪烁的指示灯无关。我重新打开了到 Web 服务器的端口转发,消息再也没有出现。
然后我查找了 IP 地址这让我知道了托管公司的名称Fusepoint Managed Services。接下来,我打电话给该公司并报告了这个问题。服务代表非常乐于助人,并确认 IP 确实在他们的网络中。她答应在问题解决后给我回电话。
希望这能帮助其他人。
谢谢@voretaq7