/ hnap1 /は、侵害されたルーターまたはワームをスキャンしますか?
最近、ローカル専用のWebサーバーに奇妙なエントリがいくつかありました。問題は、攻撃がネットワークの外部からのものなのか、感染したマシンからのものなのかわからないことです。 hnap攻撃について少し読みましたが、それについてどうすればよいかまだわかりません。本質的に、「ホームネットワーク管理プロトコル」のために、Ciscoルーターには脆弱性があります。そして、私が読んだことから、解決策はありません。
感染したシステムの場合、ネットワークトラフィックをリッスンして特定したいのですが、その方法がわかりません。 snortとwiresharkを使ってみましたが、これらのプログラムはかなり進んでいるようです。あるいは、誰かがネットワークキーをクラックすることで私のネットワークを危険にさらすことができた場合、彼らはネットワークに参加し、好きなスキャンを実行できると考えています。それ以外の場合は、ローカルネットワークの外部からアクセスしている可能性があります。
これがエントリです(私のPCからの複数の要求を表示するように更新されています)。
[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
Invalid HTTP_Host header: '192.168.yyy.yyy'.
[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_Host header: '192.168.1.1' (Router IP).
[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_Host header: '192.168.1.2' (PC IP).
[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_Host header: '10.1.0.1' (Virtualbox IP on PC).
問題を追跡するにはどうすればよいですか?これらのリクエストをさらに聞いてソースを特定する簡単な方法はありますか?ワームに乗る可能性のあるより良いマルウェア/スパイウェアスキャナーはありますか?
(私は最新のアンチウイルスを使用していますが、何も検出していません。そのためです。)
発見したのは、デバイスがWebサーバーに接続され、/ HNAP1 /を要求したことです。
[〜#〜] hnap [〜#〜] はデバイスを管理するためのプロトコルなので、潜在的な攻撃に関するこの情報だけで、これはサポートするネットワーク上のデバイスによって行われたと思いますこのプロトコル(たとえば、ルーターからパブリックIPアドレスを取得しようとしている可能性があります)。
ログ行には、そのようなリクエストを実行したクライアントのIPアドレスを含める必要があります。例:
192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
この場合、リクエストは192.168.123.123。
- Common Log Format を使用していると想定しています。カスタム形式を使用している場合は、リモートアドレスをどこかに追加する必要があります)
更新に関しては、"無効なHTTP_Hostヘッダー"メッセージはほとんどここでは関係ありません。クライアントは(192.168.yyy.yyy/192.168.1.1/192.168.1.2/10.1.0.1)との通信を指定して接続しましたが、サーバーはそれらの仮想ホストで構成されていません。重要な部分は左側のIPです(ただし、外部インターフェイスとVirtualBoxインターフェイスの両方が列挙されている場合は、おそらくPCからのものであることを意味します)。