我们有一个小办公室,在检查路由器日志时,我注意到许多计算机在非工作时间向办公室路由器请求了 IP 地址。
这是日志文件输出:
188 2016-11-18 06:50:58 DHCPD Notice Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD Notice Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD Notice Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD Notice Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD Notice Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD Notice Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD Notice Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD Notice Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD Notice Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD Notice Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD Notice Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD Notice Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD Notice Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD Notice Recv REQUEST from FC:3F:DB:21:34:E2
员工下班后都会关闭电脑。我已确认,记录的 MAC 地址中除了两个之外,其余均属于我们办公室的电脑。
我们最近遇到了安全漏洞。我们重置了路由器、所有管理员密码和 WiFi 密码。
这些计算机是否有可能在非工作时间自行启动,并让我们网络之外的人们可以访问它们?
答案1
询问第一个问题:
这些计算机有可能自行运转吗?……
是的,计算机可以自行开机,这种功能已经存在多年。对于 IBM 兼容 PC 来说,这是正常的,因为它们有 ATX PSU。(大约从 1995 年开始)。如果您转到主板固件(又称 BIOS 或 UEFI),您通常可以选择配置此功能。如果您有一台旧 PC 并且希望它在您到达办公室之前开机并启动,这非常有用。
你问题的第二部分
…并让我们的网络之外的人们能够访问它们?
与第一部分无关。如果在计算机开机时发生这种情况(无论是计算机自行开机还是您按下电源按钮开机),则表示存在问题。如果是这种情况,则表示安全漏洞尚未修复。
最后,如果你得到了 MAC 地址,那么你可以查看前三个字节。它们会告诉你请求 IP 的网卡是由哪些制造商制造的。这有助于识别来源(例如,只有来自打印机或移动(个人?)电话的 DHCP 请求……
我查看了您帖子中的地址:
F8:0F:41
以或 开头的MAC 地址98:EE:CB
属于纬创资讯. 根据维基百科,该公司生产运行 Chrome OS 的平板电脑、手机和其他设备。
以 开头的 MAC 地址64:EB:8C
属于 Seiko Epson Corporation。这些可能是打印机(不过,打印机在办公室中可能拥有自己的 IP 范围,尽管可能在 DHCP 服务器上具有保留的 MAC → IP)。
以 开头的 MAC 地址4C:A1:61
属于 Rain Bird Corporation。我对这个名字进行的每次搜索都显示是一家洒水器公司。
最后:
我们的日志文件不正确吗?
我对此表示怀疑。有些东西似乎在请求 IP 信息。这正在被记录下来。记录没有错误。更大的问题是他们为什么在办公时间之外这样做?是否有一个全天开着的草坪喷水系统(可能应该 24/7 开着)?是否有打印机没有关闭而是进入睡眠模式?是否有笔记本电脑或 PC 没有正确关闭而是进入低功耗(睡眠?)模式,检测到电池电量低并启动以进入深度睡眠模式?
基本上,找出哪个设备(应该很容易,你有 MAC 和 IP,所以你可以使用文档来查找它是哪台 PC,或者使用路由器来找出它是哪个设备)。然后从最后的设备进一步研究。(如果是 Windows 计算机,请尝试powercfg lastwake
)。