|
|
楼主 |
发表于 2009-7-31 23:20:53
|
显示全部楼层
也不知道对不对,根据实际发现的情况和打听到的情况进行分析。
一、
电信劫持了如下IP:192.168.0.1、192.168.1.1、192.168.2.1、192.168.3.1、192.168.4.1、192.168.5.1、192.168.6.1、192.168.7.1、192.168.8.1、192.168.9.1、192.168.10.1、192.168.11.1、192.168.131.1……,够可怕的,都可以PING得通。它劫持这些IP做什么用?
二、
1、听说不用安装ADSL时电信赠送的猫有可能有效防止被监控到共享。
2、再联系到PPPoE协议:有可能普通的ADSL猫、宽带路由器的PPPoE都有一些问题——后门或是PPP协议的漏洞——就象无线局域网现在也有许多漏洞一样——或者通过桥接电脑或宽带路由器的猫上有猫腻)
3、再联系到上面的IP居然都可以PING通,有可能我们被VPN了。
——我们网内的电脑变成监控系统的“网上邻居”了(所以电信连网内使用了交换机都能知道)。
——网上有些资料说把防火墙的等级调到最高可以防,估计也就是这个道理。
——再有网上有些资料说通过2层路由器也可以防(ADSL --> 第一层路由器 --> 第二层路由器 --> 接所有电脑),估计也是这个道理。
三、
分析HTTP头的可能性,我个人认为不太可能,这个流量太大。但也不排除电信采用随机抽取分析的可能。
俺这里好象从周五开始,电脑开始跳出电信的警告图片,说我串联了多台计算机上网,存在安全隐患,云云。刚开始还只停几个毫秒吧,后来就昨天开始停几秒钟。
好吧,电信ISP们,你们够狠,俺们不是刚学习了楼主的东东吗,来试试吧。
打开长期未用的网络分析软件commview评估版,开始监控本地网的情况。盯着commview显示的数据,把每个IP地址和端口号记下来,再开一个MS-DOS窗口,以便用命令测试。
排除掉正常的ISP服务地址,DNS服务器地址,网页主机地址,广告及插件主机地址,便找到了可疑的监视主机地址xxx.136.208.123;
排除掉正常的访问端口80,21,23,可疑的端口就是137(netbios-ns,tcp和udp用),138(netbios-dgm,udp),139(netbios-ssn,tcp),有人说还有161(snmp,udp),162(snmptrap,udp),甚至有人说445(microsoft-ds,udp,tcp),最扎眼的还是8899端口。
好吧,打开tp-link r460,将防火墙打开,同时启用IP过滤和端口过滤,存档,重新启动R460,嘿嘿,搞掂。
再次对楼主表示感谢。
不过俺还有问题要请教:
1 在以太网中不能屏蔽所有的137,138,139,161,162端口,尤其是138,否则访问不了外网,
2 在R460类的产品的规则条数有限(因为内存原因)的情况下,好象R460执行规则不是太好 |
|
粤公网安备44152102000001号 
发表于 2009-8-1 08:28:36