NetBIOS 数据包探测(端口 137)。它来自路由器吗?

tag-icon tag-icon networking firewall internet-security netbios spoofing
NetBIOS 数据包探测(端口 137)。它来自路由器吗?

很长一段时间以来,我的机器的防火墙一直在检测奇怪的数据包,这些数据包似乎来自我的路由器。我无法解释这种行为。我怀疑外部攻击者以某种方式通过欺骗源 IP 地址或入侵我的路由器来走私这些数据包,但我需要确认这一点。或者路由器可能是由制造商预先配置为这样做的?

如果有人知道可能是什么原因,我将不胜感激。

配置:路由器/RR.RR.RR.RR- Arris WTM652B(我认为它的引擎盖下是 Touchstone),防火墙已启用。

我的主人/嗯。嗯。嗯。嗯使用 iptables

我收到两种类型的意外数据包:

  • DST 端口 137 (NetBIOS)来自路由器 IP 的数据包。路由器的 NetBIOS 中是否有一些奇怪的“额外内容”,或者它只是一个局外人?
  • 无效的未经请求的数据包!!??!!SRC 端口=443,来自分配给 Google Inc. 的各种 IP 地址。这可能是黑客行为吗?有人(可能是 Google?)试图通过防火墙上的动态规则突破我的防火墙(当我在 Google 上搜索时,这些规则会打开一个漏洞,有人会试图通过这个漏洞潜入)?

以下是一个示例:

Apr 27 10:55:38 notebook kernel: iptables REJECT input: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=RR.RR.RR.RR DST=MM.MM.MM.MM LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=4108 PROTO=UDP SPT=2092 DPT=137 LEN=58 
Apr 27 10:55:42 notebook kernel: iptables REJECT input: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=RR.RR.RR.RR DST=MM.MM.MM.MM LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=4109 PROTO=UDP SPT=2092 DPT=137 LEN=58 
Apr 27 10:55:49 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=216.58.212.4 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=58408 PROTO=TCP SPT=443 DPT=53474 WINDOW=0 RES=0x00 RST URGP=0 
Apr 27 10:55:50 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=216.58.201.195 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=32104 PROTO=TCP SPT=443 DPT=34440 WINDOW=0 RES=0x00 RST URGP=0 
Apr 27 10:58:27 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=172.217.20.142 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=16097 PROTO=TCP SPT=443 DPT=38786 WINDOW=0 RES=0x00 RST URGP=0

知道这里发生什么事了吗?

非常感谢,mbax

答案1

我不会担心来自我的路由器的 NetBIOS 名称查询。

我见过许多路由器,当您进入 MAC 过滤选项(或任何使用 MAC 地址的选项)时,它们还会显示已在该 PC 上设置的 NetBIOS 名称。这样可以更轻松地找出网络上的哪些机器属于您,并根据需要对其进行限制。

如果您仍然不确定,那么我会去 grc.com 并使用他们的盾牌升起!工具扫描您的端口,并确保路由器互联网端的端口 137 已关闭。这样,您就可以确定名称探测数据包来自路由器本身,而不是整个互联网。

答案2

我发现非常相似的线程答案非常容易理解:

顺便提一下,我在我的某些具有特定 IP 范围的服务器上也看到了此类行为。它们都是 RST 数据包,因为某些常用 Web 服务的 DNS 轮换包含实际上没有运行服务的 IP 地址而发送。

总结一下,发生这种情况可能是由于 Google 的集群和不断变化的 IP 地址,以及通过 AJAX 发出的多个 javascript 请求。其中一些 Google 服务器可能已关闭并发送 RST(在切换 IP 之后?)

另一种可能性是防火墙规则配置错误或防火墙存在漏洞。我使用了官方 iptables 配置指南,并且几乎 1:1 地使用了规则,因此不应该出现这种情况,但是谁知道呢?

第三,它可能是一个未经请求的数据包,直接发送到我的路由器,SRC IP=路由器 ip,DST IP=我的 ip。路由器可能太笨了,不会丢弃这些无效数据包。如果是这样的话,我会感到惊讶。

如果有人有更好的解释,请帮忙。

相关内容