首先,我知道这个问题之前已经有人问过了这里,这里和这里。但它没有我需要的答案。
以下是我的跟踪路由结果:
1 4 ms 5 ms 4 ms homerouter.cpe [192.168.1.1]
2 * * * Timeout
3 33 ms 43 ms 36 ms 10.110.17.53
4 235 ms 39 ms 241 ms 10.110.17.53
5 46 ms 191 ms 211 ms 10.110.24.169
6 32 ms 18 ms 23 ms 10.110.24.58
7 146 ms 211 ms 183 ms 10.110.24.65
8 24 ms 40 ms 39 ms 172.28.150.5
9 22 ms 20 ms 26 ms 172.28.16.1
10 52 ms 27 ms 38 ms 172.28.16.2
11 39 ms 34 ms 37 ms 172.17.116.10
12 66 ms 90 ms 66 ms be4591.ccr22.mrs01.atlas.cogentco.com [149.14.125.9]
13 78 ms 45 ms 75 ms be2255.rcr21.mil01.atlas.cogentco.com [154.54.39.18]
14 71 ms 65 ms 66 ms 149.14.135.18
15 54 ms 65 ms 54 ms 151.101.193.69
如你所见,在跳数 3-7 中有多个私有 IP 地址,并且它们的延迟相当高,这让我相信这可能是一种中间人攻击或类似的东西,正如用户在这个问题。
所以我想知道这是否是中间人攻击,如果是,我该如何解决它?
答案1
跳数 3-7 中有多个私有 IP 地址
您的 ISP 正在使用运营商级 NAT:
运营商级 NAT (CGN),也称为大规模 NAT (LSN),是一种 IPv4 网络设计方法,其中终端站点(特别是住宅网络)配置有私有网络地址,这些地址由嵌入在网络运营商网络中的中间盒网络地址转换器设备转换为公共 IPv4 地址,从而允许许多终端站点之间共享小型公共地址池。
他们的延迟相当高
您可以向 ISP 提出这个问题,尽管在这种情况下它对到达最终目的地所需的时间没有太大影响。
这些中间路由器很可能对 ping 的响应很慢,因为它们已被配置为优先通过流量(这会增加延迟)。
这是一个中间人攻击吗?如果是,我该如何解决它?
事实并非如此,而且你也不需要修复任何问题。
答案2
好的,很可能是您的 ISP 使用私有 IP 来访问网络。假设您是 MITM 攻击的受害者,首先尝试从路由器查找 IP10.110.17.53已打开的端口,并检查它们是否与路由器兼容(即标准外部路由协议,如 BGP)
但它比你想象的更微妙
识别 MITM 攻击并不容易,因为攻击者可能只是读取和转发数据包(不篡改数据包数据)。不过,在这种情况下,如果我是作恶者,我不会用 ICMP 生存时间超过的数据包进行回答(这是 traceroute 所做的),我会将 iptables 设置为将通过我的数据包的 TTL 增加 1,这样网络就看不见我了。
我希望已经回答完整
答案3
将您的交换机端口镜像配置到特定端口,然后使用 Wireshark 捕获来自该端口的所有流量并在捕获中查找 ARP 欺骗。