网关灵异事件(1)

garyx

早上发一包了!也跟班主讨论了下!
具体是这样的,我用科来抓包,发现网关有很多IP地址,不是外网的,是一些非法的内网IP
我的合法IP地址带是不是92.168.1.0-255,却出现了许多171.10.....或者10.98......之类的!还与内网的某些合法主机通讯,通讯时间很多,多为TCP,想在源机器上NETSTST -ANO 看看是什么程序!但他的通讯时间实在太少,我跑过去想查的时候,通讯已经结束.啥都看不到!下面是过滤后的包!关于拓扑,大家可以看这贴http://www.csna.cn/forum.php?mod ... &extra=page%3D4

linminwww

我看了一下你那00:19:E0:EC:84:E6 (40)有四十个IP 够吓人的哦你确定这个是网关mac地址.

可以存在DDOS攻击,因为初始化的TCP连接有76个而成功建立的只有0个
tcp同步数据包没有160个没有一个人回复它.

garyx

是的!这是网关MAC!2楼,首先谢谢你的解答!我这是过滤后的包,除了192.168.1.X外,所有的IP都是假的,不知道怎出来的,当然,PING 这些异常IP也当然PING不通,所以,我想TCP连接数的不正常是应该的!还有,我这里七十多台机器,全都使用正常啊!这....真郁闷啊!

linminwww

我看这私有IP是正常的因为我以前的抓包抓到过私有IP还过没有你这么多只有一二个

zhaojunling

正常，请参考arp 和 ip寻址过程。www.baidu.com or www.google.com
某种程度上说通过该软件方面的调整可以解决这种问题。

garyx

楼上这样说!我更郁闷了!能详细点讲述吗??我对ARP与MAC的寻址过程也略有了解,但还想不出什么问题啊!

oldjiang

包的数量很少，肯定不是攻击。我觉得这些非本地子网的私有IP不正常，全是单向包。

zhaojunling

例如
ping www.126.com
着重关注回来的包的数据构成:源 ip 202.108.9.77 + 源mac 地址（这个mac地址应该是网关）+等等
ping www.163.com
回来的数据构成:源 ip 202.108.9.39+ 源mac 地址（这个mac地址也应该是网关）+等等

现在你应该可以看到2个ip地址对应一个mac.也就是说你的网关现在对应2个ip地址。

明白了吗？

[ 本帖最后由 zhaojunling 于 2008-5-19 21:14 编辑 ]

oldjiang

网关出去就是互联网，又没有VPN，目标地址为私有IP是不对的，这些IP变化不定，而且多个机器都在发，楼主的意思是要找出为什么会有这样的包。

garyx

8楼的意思我明白!但我这是非法内网的私有IP,而且很多!难解释啊!
我差点就怀疑到是笔记本电脑的无线网卡影响那面去了!

oldjiang

这个例子蛮典型，请楼主继续

zhaojunling

太不好意思了，我没有看得太仔细，对不起了。

现在的一些想法：
在出口路由器有没有做什么ipsec vpn或者有没有vpn服务器。
例如：在出口路由器上配置 easy ipsec vpn （cisco） 就可能出现这种情况。

备注：斑竹人不赖...

zhaojunling

数据都是单向：                                                            
192.168.1.88:3056          10.10.10.20:1079         
TCP  序列号=4273713725, 确认号=0000000000 所有TCP确认号都是 0，没有建立实际的连接。
个人认为软件繁杂难免会出现这样那样问题，但是不影响应用还好了。

oldjiang

抓了包，能抓到包，但是那个机器发包的时间短、数量少，跑过去想用NETSTAT根据端口查看进程时，通讯已经结束了，看不到了。有什么程序可以记录windows的TCP、UDP日志？内容有时间、进程、协议、端口、对端地址和端口等，关键是要记录下时间、端口和进程的名字。进程不是指定的，最好是所有的。

garyx

新的一天,新的发现!
用OLDJIANG传授我的方法,大概都知道向非法IP传数据的程序,奇怪的是,那些程序有Q,RFYPROXY,卡巴,等常见的程序!我自己的机器也有这情况,开机--马上开科来,CMD,任务管理器.起初是没什么发现的!但我的QQ一登陆成功,马上就有类似的非法IP连接出现了!
其他机器情况都差不多!TCP80端口,同步包.我机器钢材与非法IP通讯的端口是1032!
郁闷,大家有意见尽管说说!

pxj80131415

解决了吗,想学习下....

地球超人

灵异是什么啊？