我在一家小型 ISP 管理网络设备,该 ISP 负责 60 栋高层建筑。每栋建筑都有 1 到 60 个 24 端口交换机、一些 DSLAM 或一些同轴网关,屋顶上装有 p2p 无线电,中央建筑内装有主路由器。
我最近收到一封来自 SiteTruth 员工的电子邮件,他解释说,钓鱼邮件来自一个虚假的电子邮件地址,但与该电子邮件域名关联的 IP 是我们的 IP 之一。他接着说,到该 IP 的跟踪路由在到达跟踪 IP 之前会绕过我们的许多 IP,并暗示我们可能托管着整个僵尸网络。我做了同样的跟踪路由,看到了他在电子邮件中包含的相同路由。
因此,在到达目标 IP 之前,路由会命中大约 60 个动态 IP。我们在整个网络上为客户端使用 dhcp,所有这些跳转都脱离了动态分配的 IP,因此跳转脱离了客户端框(如果我看起来是多余的,请原谅)。
我是一名有抱负的网络管理员,所以我不知道这是什么。为什么会有这么多随机跳转到随机客户路由器/计算机?如果一个域名注册到我们的一个 IP 上,并且对该域名的 tracert 会跳转到我们网络上的其他 60 个客户端设备,这是否是僵尸网络的证据?我可以在路由器上找到有问题的 IP 的 MAC,并将其追踪到建筑物中交换机上的特定端口并关闭该端口,但如果客户不知道他是僵尸网络的一部分,也不知道这种情况正在发生,那么我必须重新启用该端口,因为他们是付费客户。
有趣的是,我刚刚执行了与几天前收到电子邮件时相同的 tracert,现在我们的 IP 上只有大约 20 个跳数,才能到达跟踪目标。我猜这只是因为涉及了 dhcp?我真的不知道。
有人知道这到底是什么吗?如果这是僵尸网络,我该如何摧毁它?我猜我只需要阻止特定的流量?
如果您能提供更多有关具体情况和处理方法的信息,我将不胜感激。我不明白为什么在简单的 tracert 过程中,我们网络上的动态 IP 之间会有如此多的跳数,这是否证实了存在僵尸网络?我真的很想做点什么,这样我们的 IP 就不会被列入黑名单。
答案1
看到网络上的路由“跳跃”确实很奇怪。您应该看到流量从边缘路由器跳跃到分发路由器。您绝对不应该看到流量通过最终用户客户地址/设备路由。我倾向于认为您在这些跟踪路由输出中看到的是某种配置的产物,而不是最终用户客户以某种方式完成路由的证据,但如果没有看到它,我无法肯定地说。(我还想知道您启用了哪些保护措施来防止一个客户欺骗分配给另一个客户的 IP 地址。典型的低端第 2 层交换机不会在这方面提供很多保护。)
您的网络与典型的企业网络不同,因为您为付费客户提供互联网访问。如果我处于您的位置,我会选择不是尽可能过滤所有流量。(您的另一个问题:出站 TCP 端口 25 就是一个可以接受过滤流量的例子。出站和入站过滤可以防止欺骗性 IP 进入/离开您的网络,这也是很好的过滤规则。)
我认为关闭恶意流量来源的客户端是完全合理的(并且应该在您的服务协议中注明您有这样的政策)。显然,您应该尝试联系相关客户,让他们知道他们被切断的原因。如果您向他们提供一些数据包捕获,让他们找到来源并消除它,那就太好了。
我没有运营 ISP 的经验,因此无法告诉您应该监控哪些来自客户的异常流量模式。僵尸网络无论如何都会试图模仿“正常”用户流量以规避监控和过滤。我更担心的是监控您自己的设备是否存在未经授权的访问尝试,锁定管理接口以允许仅从授权主机使用安全协议进行访问,并使用路由和交换设备来防止客户干扰其他客户、欺骗其源地址、耗尽您的 DHCP 池、设置恶意 DHCP 服务器等。