瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 一个可能是路由器入侵的问题

1   1  /  1  页   跳转

一个可能是路由器入侵的问题

一个可能是路由器入侵的问题

家庭TP-link局域网,通过校园网连接外网。无线+有线各有一个电脑。SSID不广播,名称也改了,WPA-PSK加密,密码12位,但不属于复杂密码。无线设置了mac地址限制,上网也对mac设了限制。病毒的可能性不大,干净的电脑,应该无毒

症状:一般是在晚上,网络不稳定,开机还快,但是时间一长就连接不到外网。
初步诊断:从tplink路由器管理上看,有这么几个情况。
1.DHCP客户列表上无异常连接及mac;
2.但是从IP与MAC绑定的管理上看,ARP映射表出现192.168.1.100(本机)及4-5个异常IP和mac。比如:202.203.204.129(这个可能是网关,从网络参数上看到的),但是其它的几个IP不对,比如202.203.204.146/152/189/253等等。删除后马上有新的出现,没注意IP及mac的变化是否固定,好像都在变。
3.关闭无线功能,这些连接还在。于是切断WAN端的网线连接,这些连接不再出现。
4.但是无法上网啊。所以恢复路由器原始设置后,再重新配置,更改密码,关闭无线功能,设置mac限制,并关闭DHCP,采用静态地址分配。绑定本机ARP。
5.试验了一下,将202.203.204.129 的mac记住,用ARP绑定202.203.204.129 到一个不同的mac,然后就不能上网。只好放弃。
经过这些措施后,目前基本正常,除了202.203.204.129 (WAN口网关?)还存在,其它几个不再出现。
--
疑问:
1.搞过4个局域网,大同小异,第一次见到网关出现在ARP列表里的。更没有外部IP出现在ARP列表里的。不合道理,局域网路由器怎么看见外部的IP?难道是伪装?
2.或者真是病毒。但是瑞星没有识别,而且暂时没看见异常程序和进程。
3.如果不是病毒,那一定有攻击来自外部。不是无线来的,因为关闭无线后不改善情况。
4.有人偷改线路,房间外部检查了,没有显眼的异常。
5.学校的主机室有人在硬件或者软件上做了手脚。
--
各位高手有没有遇到这样的情况?帮忙分析下,尽快弄清楚问题所在。
谢谢!


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
分享到:
gototop
 

回复 1F jhnicjhnet 的帖子

装瑞星个人防火墙了嘛,开启arp欺骗防御功能试试。
gototop
 

回复:一个可能是路由器入侵的问题

可是我的局域网内部没有ARP病毒啊
gototop
 

回复 3F jhnicjhnet 的帖子

arp是一种网络攻击行为,并不是病毒。
gototop
 

回复: 一个可能是路由器入侵的问题

谢谢回复!
我以前在另外一个网络里遇到到ARP病毒,的确是病毒导致的ARP欺骗。某同志上网,网络就不稳定,时好时坏。然后查地址,发现IP地址被该同志的电脑盗用。断网、查毒、杀毒,OK。这是我对ARP攻击目前的认识。
--
而这次情况不一样,IP来自校园的局域网,而我的更下层的局域网只有2个电脑,而且最近只用台式机。如果是ARP攻击,只能来自于校园网用户。我不明白,他可以ARP攻击,但是怎么会显示到我的路由器上?
如果真是这样,只能找管理员了。只是担心有人偷改线路。
gototop
 

回复:一个可能是路由器入侵的问题

中午回去又不行了,一样的表现。
这回看清楚了,202.203.204.129和146用的是同一个mac。ARP!
但是攻击来自于何方?
最后编辑jhnicjhnet 最后编辑于 2009-12-21 10:14:30
gototop
 

回复:一个可能是路由器入侵的问题

202.203是外网的地址,电信adsl分配一般都是动态ip,mac地址会变化很正常啊,如果固定了,只能说明那个用户是用的固定的ip
一颗红心向党,一片真心为民
gototop
 

回复:一个可能是路由器入侵的问题

好晕哦~~没看明白什么意思
gototop
 

回复:一个可能是路由器入侵的问题

我们也遇到了同样的问题啊。
到现在还无法解决,刚才一位室友查找到一直制造冲突的MAC地址是来自校园网内部的。
没办法,似乎瑞星防火墙打开了ARP欺骗防范,并没有起到作用。现在只得换另外的端口使用了哦。
gototop
 

回复 1F jhnicjhnet 的帖子

因为你们在校园网的环境之下,将路由器的WAN口接入校园网,这时你们的路由器在校园网内就相当于一xxx立的电脑(我觉得说网关更恰当一些)而在整个校园网环境中,完全可以使用arp包阻挡路由器在WAN口的正常访问。而且家庭用路由器内存一般都不大,在ARP包过多的情况下,一会就会被arp拖尽带宽而死。个人建议将进线接在LAN口,将路由器当做交换机使用,下属电脑分配校园网IP.能减少这种情况的发生~~
祝好运
Kaisir.Wang的部落格
http://kaisir.cn
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT