web-dev-qa-db-ja.com

プライベートIPからの接続のソースを見つけるにはどうすればよいですか?

私はアマチュアのホームネットワーク管理者であり、ネットワークが可能な限り安全であることを確認しようとしています。 Linksysルーター(WRT320)を経由するケーブル接続があり、dd-wrtファームウェア(v24-sp2 mini)がほとんどの着信接続をブロックし、いくつかを転送しています。私は専門家ではないので、設定をあまり調整していません。ほとんどすべてがデフォルト設定であり、不要なサービスは無効になっています。

着信接続ログを調べたところ、プライベートIP 10.160.0.1:bootpc (UDP)port 68だと思います)からドロップされている接続要求を常に受信していることがわかりました。名前からすると、最初は、ネットワーク内のコンピューターをリモートで起動しようとしているコンピューターだと思っていました。調べてみると、接続しようとしているサービスはルーターのDHCPサーバーであることがわかりましたが、それらの要求がどこから来ているのかわかりません。

私はこれをすべてルーターのwebuiから行っているので、ログはかなり必要最低限​​のものです。これは私が見る種類の情報です:

Source IP    Protocol    Destination Port Number    Rule
10.160.0.1   UDP         bootpc                     Dropped
(repeated)

これはLinuxベースのファームウェアなので、鼻を突くことができるはずです。私はLinuxの管理面ではそれほど素晴らしいとは言えません。

自宅にあるすべてのコンピューターが考慮されます。どのコンピューターが接続されていて、本来あるべきではないサービスを実行していないかを知っています。ワイヤレスは保護されているため、不明なコンピューターがAFAIKに接続することはできません。この不正なIPを特定する方法がわかりません。

この可能性のあるの原因となる可能性があるのは、一部のコンピューターにリモートログインプログラム(LogMeIn)があり、父がコンピューターにリモート接続できることです。ただし、コンピューターの電源がオフになっていて(または無効になっている)、彼は以前ほど頻繁に使用していません。とにかく接続しようとすると、IPアドレスが実際の非プライベートアドレスとして表示されていたと思います。

また、アクセスポイントとして機能し、メインルーターへの接続をブリッジする2番目のワイヤレスルーターもあります。これは、ほぼ同じ正確な設定で同じファームウェアを備えたLinksys WRT54GLであり、すべて(ルーターとすべてのコンピューター)が同じサブネットAFAIK上にあります。

これらの接続はどこから来ていますか?

tcpdumpを実行してパケットをチェックすると、次のエントリが表示されます。

 root @ WRT320N:/ tmp#tcpdump -XX -e&> dump.txt 
 root @ WRT320N:/ tmp#cat dump.txt | grep 10.160.0.1 
 16:58:49.918259 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ346:vlan 2、p 0、イーサタイプIPv4 、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP、返信、長さ:300 
 16:59:07.303484 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、 ethertype 802.1Q(0x8100)、長さ64:vlan 2、p 0、ethertype ARP、arp​​ who-10.160.1.49 tell 10.160.0.1 
 16:59:32.351746 00:19:2f:e5:ba: d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ64:vlan 2、p 0、イーサタイプARP、arp​​ who-10.160.1.49 tell 10.160.0.1 
 16:59:37.574938 00: 19:2f:e5:ba:d9(oui不明)> 01:00:5e:00:00:01(oui不明)、ethertype 802.1Q(0x8100)、長さ64:vlan 2、p 0、ethertype IPv4、10.160 .0.1> all-systems.mcast.net:igmp query v2 
 16:59:39.829927 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ341:vlan 2、p 0、ethertype IPv4、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP、応答、長さ:295 
 16:59:40.767904 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ341:vlan 2、p 0、イーサタイプIPv4、10.160.0.1.bootps> 255.255。 255.255.bootpc:BOOTP/DHCP、応答、長さ:295 
 16:59:40.867497 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ64 :vlan 2、p 0、ethertype ARP、arp​​ who-10.160.1.49 tell 10.160.0.1 
 16:59:48.905628 00:19:2f:e5:ba:d9(oui Unknown)>ブロードキャスト、ethertype 802.1Q(0x8100)、長さ341:vlan 2、p 0、ethertype IPv4、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP、応答、長さ:295 
 16:59:49.132869 00 :19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ64:vlan 2、p 0、イーサタイプARP、arp​​ who-10.160.1.49 tell 10.160.0.1 
 16:59:51.378274 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ341:vlan 2、p 0、イーサタイプIPv4、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP、応答、長さ:295 
 16:59:53.848036 00: 19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ346:vlan 2、p 0、イーサタイプIPv4、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP 、返信、長さ:300 
 17:00:10.841075 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ340:vlan 2、p 0、 ethertype IPv4、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP、応答、長さ:294 
 17:00:12.137809 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ340:vlan 2、p 0、イーサタイプIPv4、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP、応答、長さ:294 
 17:00 :14.179802 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ64:vlan 2、p 0、イーサタイプARP、arp​​ who-10.160.1.49 tell 10.160.0.1 
 17:00:16.196078 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ340:vlan 2、p 0、イーサタイプIPv4、10.160.0.1 .bootps> 255.255.255.255.bootpc:BOOTP/DHCP、応答、長さ:294 
 1 7:00:21.349701 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ346:vlan 2、p 0、イーサタイプIPv4、10.160.0.1.bootps> 255.255。 255.255.bootpc:BOOTP/DHCP、応答、長さ:300 
 17:00:22.445556 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ64 :vlan 2、p 0、ethertype ARP、arp​​ who-10.160.1.49 tell 10.160.0.1 
 17:00:23.366436 00:19:2f:e5:ba:d9(oui Unknown)>ブロードキャスト、ethertype 802.1Q(0x8100)、長さ346:vlan 2、p 0、ethertype IPv4、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP、応答、長さ:300 
 17:00:24.16290300 :19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ340:vlan 2、p 0、イーサタイプIPv4、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP、応答、長さ:294 
 17:01:04.274555 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、イーサタイプ802.1Q(0x8100)、長さ64:vlan 2、p 0 、ethertype ARP、arp​​ who-10.160.1.49 tell 10.160.0.1 
 17:01:07.439837 00:1 9:2f:e5:ba:d9(oui不明)>ブロードキャスト、ethertype 802.1Q(0x8100)、長さ346:vlan 2、p 0、ethertype IPv4、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP 、返信、長さ:300 
 17:01:07.457221 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、ethertype 802.1Q(0x8100)、長さ346:vlan 2、p 0、 ethertype IPv4、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP、応答、長さ:300 
 17:01:09.454207 00:19:2f:e5:ba:d9(oui不明)>ブロードキャスト、ethertype 802.1Q(0x8100)、長さ346:vlan 2、p 0、ethertype IPv4、10.160.0.1.bootps> 255.255.255.255.bootpc:BOOTP/DHCP、応答、長さ:300

簡潔にするためにトリミング

どうすればいいのかわかりませんが。 all-systems.mcast.netでオンラインで検索すると、多くの人がこれらのパケットも受け取っていることがわかりますが、実際の答えはわかりません。

networkingsecurityiprouterdd-wrt
1
Jeff Mercado

表示されているDHCPトラフィックは、送信元アドレスが0.0.0.0になるという点で特別です。送信元を見つけることに関しては、それほど役に立ちません。

これは、心配する必要はほとんどありません。このブロードキャストトラフィックは、デバイスがネットワークに接続したり、ワイヤレスに参加したりするたびに発生するはずです。

それでも追跡したい場合は、トラフィックの送信元MACアドレスを取得し、そこから追跡する必要があります。

2
Shane Madden

DHCPDiscoverフェーズ中(およびDHCPRequestフェーズ中)のクライアントからのBOOTP/DHCPトラフィックは、同じ物理ネットワーク(ff-ff-ff-ff-ff-ff/255.255.255.255)上のすべてのノードにブロードキャストされます。任意のデバイスから。コンピュータ、ゲーム機、スマートフォンなど。DHCPDiscoverパケットとDHCPRequestパケットには、クライアントの送信元MACアドレスが表示されるので、それを確認することで追跡できる可能性があります。

クライアントのDHCPDiscoverパケットとDHCPRequestパケットは、DHCPサーバーのポート67宛てのクライアントのポート68から発信されます。

DHCPサーバーのDHCPOfferおよびDHCPAckパケットは、クライアントのポート68宛てのサーバーのポート67から発信されます。

表示されているトラフィックは、トラフィックが表示されているときに発生しているフェーズに応じて、クライアントまたはサーバーから発信されている可能性があります。

DHCP OpCode 53の値を確認することで、サーバーかクライアントかを判断できます。

DHCPDiscover、DHCPRequest、およびDHCPInformパケットは、クライアントから発信されます。

DHCPOfferおよびDHCPAckパケットは、サーバーから発信されます。

2
joeqwerty