我从一台 Android 设备上看到我的主路由器(连接到 ISP 调制解调器的唯一路由器)上出现了奇怪的活动。可能是我以前从未见过,因为一天快结束了,大多数人都走了,而这名维护人员是网络上唯一的其他人。但是,就 NAT 应该为客户端设备做什么而言,我看到的情况对我来说毫无意义,至少就我所理解的而言。请注意,这是我第一次查看 NAT 表。
因此,今天早上我在连接到与主路由器相连的设备时遇到了一些问题(通过主交换机连接到另一个交换机)。我不得不重新启动路由器和交换机。当天完成所有工作后,我不得不再次执行同样的事情来关闭设备。这促使我查看主路由器上的 NAT 表,以寻找导致暂时中断的原因。主路由器是经过 DD-WRT 修改的,我能够远程登录到它并 cat 表。
我在表中发现了一个外部私有 IP 地址!主路由器的 LAN 端地址范围为192.168.1.1/255。我有另外两个路由器(实际上是 5 个,但只有另外两个参与了此活动)连接到主交换机,并且 LAN 端地址为192.168.2.1/255和192.168.4.1/255。第一次我发现192.168.2.108!我登录到路由器的远程管理页面,发现它被分配给了无线连接的 Android 手机。我屏蔽了手机的 MAC 地址,等着看是谁(当他们来找我抱怨连接时)。等了一个小时,没有人抱怨。
后来我又检查了一下,发现又是一个国外的 IP 地址,但这次是192.168.4.30!于是我登录了该 IP 地址所属的路由器,发现它来自同一个 Android 手机。我记得维修工有一部 Android 手机,所以我直接问了他,发现确实是他的手机。
我第一次发现它是与中国 IP 地址的连接。第二次它是与 Amazon EC2 服务器的连接。我没有记录第一次,但我仍然有第二次:
tcp 6 1096 ESTABLISHED src=192.168.4.30 dst=23.21.225.144 sport=53993 dport=443 packets=9 bytes=1131 [UNREPLIED] src=23.21.225.144 dst=192.168.4.30 sport=443 dport=53993 packets=0 bytes=0 mark=0 use=2
请记住,此条目来自 DD-WRT 修改的路由器,其 LAN 侧 IP 地址范围为192.168.1.1/255。
这是罕见但正常的活动吗?或者这可能表明 Android 手机受到了威胁?
编辑:
网络拓扑相当简单。由于各种原因,主路由器是唯一连接到 ISP 调制解调器且启用了 NAT 和 DHCP 的路由器,并且经过 DD-WRT 改装。所有其他路由器也启用了 NAT 和 DHCP(由于各种原因具有自己的子网),并且通过主交换机连接到主路由器。没有三重 NAT。所有路由器都是非商业现成的(住宅)级。当我显示 时IP/255,我指的是 LAN 端私有 IP 地址范围的默认 C 类子网;即192.168.1.1/255= 192.168.1.1-192.168.1.255。抱歉造成任何混淆,我的网络术语和符号已经过时了。
答案1
这肯定是你的 LAN 上的恶意活动。
您的 XXXX/255 没有意义 - 这不是一个有效的网络掩码 - 在路由器上设置正确的网络掩码是减少恶意设备可以使用的空间的第一步。
第二步是查看 ARP 表 (arp -an),找到无法识别的 IP 地址列表。您可以取这些地址的前 3 个八位字节并进行查找如果该活动是无辜的,它可能会通过告诉您制造商来帮助您缩小您正在寻找的设备的范围 - 请注意,这有时很容易被伪造,所以如果它是恶意的,它可能不会告诉你太多信息。
您还可以使用 tcpdump(例如 tcpdump -n -i eth0 src 或 dst 192.168.4.30)来实时显示该设备正在与什么进行通信。