如何判断是否有人试图使用我的 IP 地址?

如何判断是否有人试图使用我的 IP 地址?

我使用相对低成本的主机作为我的个人服务器,偶尔会收到一连串的宕机警报。这些都是今天的。

停机警报

如果我的主机(“意外地”)将我的 IP 分配给其他人,并且该服务器上线并开始与我争夺 IP 控制权,情况会是这样的吗?如果不是,我想我必须假设主机有硬件或网络问题,或者可能正在处理某种 DoS 攻击,对吗?当然,他们的客户门户和公司网站也遭遇了停机;几乎不可能联系他们并询问发生了什么。

过去,我偶尔会看到此类活动与尝试访问我的网站并从不同的服务器查看默认网站相关(这是有道理的,因为他们没有我的域名的主机设置)。

除了手动检查我的所有域名以查看是否出现意外情况之外,我还能做些什么来检测其他人是否试图使用我的 IP 地址?

答案1

如果您想知道在向您的 IP 发送请求时同一网段上的其他主机是否发送 ARP 回复,最简单的方法就是自己发送一些请求并验证是否收到响应。下面是一个示例命令(此处使用您自己的 IP 地址):

arping -I eth0 198.51.100.241

如果您怀疑它只是间歇性发生,那么在屏幕会话中运行 tcpdump 命令可以收集这种情况发生的证据:

tcpdump -pni eth0 'arp' -s0 -Uw /var/tmp/arp.pcap

如果这两种方法都不能给你足够的信息,你可以开始寻找其他线索。

IP 地址冲突只会影响单向发送的数据包。因此,如果您在服务器和其他地方设置软件,定期向对方发送数据包,并跟踪每个数据包的发送和接收时间,那么您将能够看到数据包是否在一个方向上丢失,而在另一个方向上没有丢失。

此外,IP 地址冲突更有可能仅影响一个地址系列。因此,当您的 IPv4 地址无法访问时,您可以使用 IPv6 登录并调查问题是否仍在继续。

最后,在停机期间和正常运行期间从两端同时进行的跟踪路由将提供有关停机的确切位置的大量信息。

答案2

If my host were to ("accidentally") assign my IP to someone else, and that server came online and started fighting with mine for control of the IP, would it look like this?

网络设备不会“争夺”其 IP 地址。如果您的服务器分配了静态 IP 地址,而同一物理网络中的另一台服务器分配了相同的 IP 地址,则网络上会发生 IP 地址冲突,并且该 IP 地址的流量将流向一个或另一个服务器,具体取决于哪个服务器响应了该 IP 地址的 ARP 查询,但服务器不会“争夺”该 IP 地址。任何一台服务器都无法告诉另一台服务器停止使用该 IP 地址。

如果服务器的 IP 地址是动态分配的(使用 DHCP),那么提供商将使用 DHCP 中的静态保留来确保将相同的 IP 地址分配给相同的服务器(基于 MAC 地址),并且这种情况可能永远不会发生。如果由于某种原因确实发生了这种情况,那么其中一个服务器将被分配 IP 地址,而另一个服务器将被分配不同的 IP 地址。想要使用已分配给其他服务器的 IP 地址的服务器将被拒绝使用该 IP 地址的请求,并将被分配不同的 IP 地址或不分配 IP 地址,并将为自己分配 APIPA 范围内的 IP 地址,假设服务器上的操作系统支持 APIPA。

根据您所说的他们自己的网站瘫痪以及您无法联系他们的情况,我的“有根据的”猜测是提供商出现了硬件/网络故障。不要想太多。提供商出现了故障。

我的建议是寻找一个更可靠的提供商。

相关内容