web-dev-qa-db-ja.com

ルータがアドレスローテーションの後でも同じIPおよびポートから不明なパケットを受信する-方法

クライアントのルーターの1つが、同じ送信元IPアドレスとポートから繰り返しパケットを受信して​​います。ルーターが再起動されて動的に割り当てられた新しいIPアドレスを取得し、他のトラフィックや接続はまだ確立されていません。ルーターは、許可されていないすべての着信パケットを警告なしで破棄するように構成されており、許可されていない着信パケットに応答しません(ブラックホール、ハーフACKなし)。

問題のIPは、ベリーズで登録されている45.227.254.22です。送信元ポートは常に同じ(TCP 52383)ですが、接続しようとする宛先ポートは異なる場合があり、TCP 20000から開始してそこから上がることができます。

ルーターがインターネット経由で毎日受信するランダムなping、スキャン、ポークのthousandsのうち、これはonlyのログに繰り返し永続的に表示されるアドレスです、およびクライアントのルーター自体が再起動され、ISPから以前に未知のIPが新たに割り当てられ、他の送信または受信接続がまだ行われていない場合でも、接続の試行が続行されます。

そのIPアドレスに存在するものはルーターの後に続いているように見えます。

ログからのサンプル:

プライバシーを保護するために、クライアントのIPは00.00.00.00として匿名化されています。クライアントルーターは北米(YYZ)にあります。

20:45:31.495556 IP 45.227.254.22:52383 > 00.00.00.00:48801: Flags [S], seq 1102121663, win 1024, length 0

20:45:42.621963 IP 45.227.254.22:52383 > 00.00.00.00:31373: Flags [S], seq 3756604334, win 1024, length 0

質問:

  1. 何が原因でしょうか?

  2. 常にクライアントのルーターをどのようにして見つけるのですか?

FAQ:

(これはFAQ必要に応じて更新されます)

Q.ルータ、クライアント、またはISPを管理および運用しているのは誰ですか。

A.ルータはクライアントによって完全に管理および操作されます。

注:以下の@ samy-kamkarによって提供される答えは、典型的なスキャンボットの動作はよく知られており、早い段階で除外されていたため、正しい答えとは見なされません。この投稿の前に、IPはAbuseIPデータベースおよびその他の場所で調査されました。それは確かに疑わしいIPです。ただし、すでに他のユーザーから報告されているため、単なるスキャンボットであるとは限りません。

疑わしいIPには、スキャン、ブルートフォース、ハッキングの試みなど、さまざまな悪意のある動作があることが知られています。

クライアントのルーターは、スキャン、ping、prods、pokes、さらには火星のパケットでさえ、24時間年中無休で攻撃されています。これは、公共のインターネットに接続されているものなら何でも普通と考えられています。この特定の状況は、通常のボットを指し示していません。何千もの未知のインバウンド接続試行のうち、これは、動的に割り当てられた広範囲のIPアドレスにわたって迅速かつ繰り返し出現する、他のすべての中で唯一の永続的な不審なIPアドレスです。

ISPによって顧客に割り当てられた多様なネットワークブロックのため、クライアントがターゲットとしているクライアントIPポテンシャルは非常に大きく、数万の可能性のオーダーです。

例として、1つの接続は10.11.0.0-10.11.255.255の範囲から割り当てられ、別の再接続は20.30.0.0-20.30.255.255の範囲から割り当てられ、さらに別の再接続は範囲から割り当てられます40.50.0.0-40.50.255.255のようになり、そのような可能な範囲は数十あります。疑わしい接続でも、さまざまな宛先ポートが試行されますが、常に同じ送信元ポートから試行されます。この動作は、クライアントのルーターを攻撃する他のスキャンとは異なります。

クライアントルーターがランダムに広大な範囲から動的に割り当てられた新しいアドレスでインターネットに接続する場合、疑わしいIPは30秒以内に試行を開始します。それは正常ではありません。

2

最も可能性の高いシナリオは、ISPを何度もスキャンする単なるスキャナーです。しかし、これはまだ教育された推測にすぎません。

確実にする唯一の方法は、より多くのデータを収集することです。問題のリモートIPアドレスからのトラフィックが、応答してTCP接続を完了するエンドポイントに送られるハニーポットを作成できます。エンドポイントでWiresharkを実行し、もう一方の端がある場合は何を確認します何も応答しない場合はスキャナーである可能性が非常に高いです。応答するデータが多い場合は、送信内容をさらに分析する必要があります。

ハニーポットの場合、これを機能させるには、たくさんのポートをリッスンする必要があります。ある範囲のポートでリッスンする単純なプログラムを作成するか、iptablesとnetcatの組み合わせを使用してポート範囲を単一のポートにリダイレクトし、netcatでそのポートをリッスンすることができます。

これは、あなたやあなたのクライアントがセットアップする時間やお金に見合う価値がないかもしれません。しかし、それがトラフィックが何であるかを知る唯一の方法である可能性があります。

0
Steve Sether

DHCPの更新時に変更されるパブリックIPの量はどれくらいですか?新しいIPを取得してパケットを確認するまでにどれくらいかかりますか?

これは標的型攻撃ではなく、ショットガンアプローチスキャナーが大規模なサブネットのスキャンにバインドされている可能性が高くなります。クラスB全体をSYNでスキャンするのに数分しかかかりません。

問題のIPは、すでにいくつかの不正なIPとして報告されています: https://www.abuseipdb.com/check/45.227.254.22

6
Samy Kamkar

再起動直後に他のアウトバウンドまたはインバウンド接続が表示されない場合は、ルーター自体が、再起動後にコールバックを実行するbe2などのある種のaptの影響を受けている可能性があります。一方、接続のダンプは、ポートスキャン動作のようなものを示しています。同じ発信元ポート、異なる宛先ポート、ACK応答なしのSynパケットのみ(接続が確立されていない場合)ところで、宛先ポートはプライベートポートの範囲内にあります。リブート後に何らかの種類の以前のトラフィックがあった場合に備えて、それは悪意のあるIPにあるc2へのコールバックを示している可能性があります。とにかく、ベストプラクティスは、疑わしいIPとの間のトラフィックをブロックするファイアウォールルールを追加することです。

0
mcruz2401

IPはパナマからのものであり、虐待的であると報告されています:SQL /コードインジェクションプローブ/ SQLインジェクション試行/コマンドインジェクション。

標準ACLで完全に拒否するだけで大​​丈夫です。

完全なIPクラスをスキャンし、ISPから使用するIPのクラスがスキャンに含まれるため、新しいIPが検出されます。ルーターがどのIPを使用しても、スキャンに含まれるクラスに含まれます。

0
Overmind