从网络中删除非法路由器

tag-icon tag-icon debian router mac-address arp nftables
从网络中删除非法路由器

我的默认网关的 IP 地址为 192.168.1.1,MAC 地址为 5c:77:76:6e:0d:7b。这是我唯一接收互联网的 Wi-Fi 调制解调器路由器。

但是在输入 nftables 日志中,我看到另一个具有相同 IP 地址和不同 MAC 地址的路由器。5c:77:77:6e:0d:7b.这个未知路由器发送了我没有打开的页面(垃圾邮件)。

我尝试了两种方法来解决这个问题:

  1. 设置静态arp缓存。现在我的 arp 缓存如下所示:

    arp -a mw40.home (192.168.1.1) at 5c:77:76:6e:0d:7b [ether] PERM on wlo1

  2. 在 etc/ nftables.conf 中丢弃来自非法路由器的数据包:

    ether saddr 5c:77:77:6e:0d:7b counter drop;

但在第二步之后,我失去了互联网连接。

我的问题:

  1. 这段日志(如下)发生了什么?

  2. 两台路由器如何相互通信?

  3. 如何从我的网络中删除非法路由器MAC address 5c:77:77:6e:0d:7b?

    Sep  1 15:16:03 flower kernel: [  133.359821] New Input packets: IN=wlo1 OUT= MAC=b8:81:98:cb:ef:a8:5c:77:77:6e:0d:7b:08:00 SRC=85.159.224.52 DST=192.168.1.2 LEN=76 TOS=0x18 PREC=0x60 TTL=49 ID=4873 DF PROTO=UDP SPT=123 DPT=47244 LEN=56 
    Sep  1 15:16:11 flower kernel: [  141.053122] New Input packets: IN=wlo1 OUT= MAC=b8:81:98:cb:ef:a8:5c:77:77:6e:0d:7b:08:00 SRC=192.168.1.1 DST=192.168.1.2 LEN=185 TOS=0x00 PREC=0x00 TTL=64 ID=32498 DF PROTO=UDP SPT=53 DPT=56881 LEN=165 
    Sep  1 15:16:12 flower kernel: [  141.660330] New Input packets: IN=wlo1 OUT= MAC=b8:81:98:cb:ef:a8:5c:77:77:6e:0d:7b:08:00 SRC=192.168.1.1 DST=192.168.1.2 LEN=111 TOS=0x00 PREC=0x00 TTL=64 ID=32521 DF PROTO=UDP SPT=53 DPT=36247 LEN=91 
    Sep  1 15:16:12 flower kernel: [  141.694208] New Input packets: IN=wlo1 OUT= MAC=b8:81:98:cb:ef:a8:5c:77:77:6e:0d:7b:08:00 SRC=172.67.68.8 DST=192.168.1.2 LEN=52 TOS=0x18 PREC=0x60 TTL=56 ID=0 DF PROTO=TCP SPT=443 DPT=50048 WINDOW=65535 RES=0x00 ACK SYN URGP=0 
    Sep  1 15:16:12 flower kernel: [  141.722991] New Input packets: IN=wlo1 OUT= MAC=b8:81:98:cb:ef:a8:5c:77:77:6e:0d:7b:08:00 SRC=192.168.1.1 DST=192.168.1.2 LEN=147 TOS=0x00 PREC=0x00 TTL=64 ID=32522 DF PROTO=UDP SPT=53 DPT=51721 LEN=127 
    Sep  1 15:16:12 flower kernel: [  141.743011] New Input packets: IN=wlo1 OUT= MAC=b8:81:98:cb:ef:a8:5c:77:76:6e:0d:7b:08:00 SRC=172.67.68.8 DST=192.168.1.2 LEN=40 TOS=0x18 PREC=0x60 TTL=56 ID=3764 DF PROTO=TCP SPT=443 DPT=50048 WINDOW=66 RES=0x00 ACK URGP=0 
    Sep  1 15:16:12 flower kernel: [  141.743028] New Input packets: IN=wlo1 OUT= MAC=b8:81:98:cb:ef:a8:5c:77:76:6e:0d:7b:08:00 SRC=172.67.68.8 DST=192.168.1.2 LEN=2840 TOS=0x18 PREC=0x60 TTL=56 ID=3765 DF PROTO=TCP SPT=443 DPT=50048 WINDOW=66 RES=0x00 ACK PSH URGP=0

来自具有非法 MAC 地址的路由器的更多日志如下:  来自非法路由器的 nftables 日志

答案1

路由器通常有多个虚拟网络接口,分配给这些接口的 MAC 地址是通过翻转硬件 MAC 地址的某些位来生成的。

因此,您看到的“非法路由器”可能是您的“合法路由器”的另一个虚拟接口。如果您阻止数据包(“合法”数据包),那么您的“合法”路由器将停止工作。

如果你家里的某个地方确实有一个“非法路由器”,你应该能够看到并触摸它,不是吗?

相关内容