我的路由器的日志显示这样的消息:
IP 欺骗攻击:IN=eth1.3900 OUT= MAC=5c:XXXXXXXXXXXXX SRC=192.168.1.10 DST=85.XXXXXXXXXX LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=5750 PROTO=TCP SPT=6859 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0
我不明白的是 SRC 地址:它在我的 LAN 中,但我没有具有此 IP 的设备!解释一下?
我应该更有效地保护我的系统吗?
答案1
有人从您本地网络(范围)之外的互联网192.168.1.0/24尝试向您的路由器发送数据包,并使其看起来像是来自您本地网络内部。显然这不对:具有本地地址的数据包无法从外部进入;因此,它一定是伪造的数据包(即,有人在将数据包发送到您的路由器之前伪造了数据包头中的源地址)。
你的路由器记录了这个数据包(理论上)应该意味着它也被防火墙阻止了,所以你看到这个日志应该意味着你的防火墙工作正常