怀疑家里的网络被入侵,该如何排查

332 天前
 TheNine
最近路由器频繁重启,奇怪的是每次都是我远程家里的 linux 打开我的 windows 机器后,差不多二十分钟左右,就会路由器就会重启,我的远程就会离线

有一个动态公网,ddns 到域名。开了 3 个端口
一个是一台 Linux SSH 端口(非 22),用 RAS 密钥登陆的,主要用于远程开机家里的 windows 主机
还有一个是 vpn 端口,为了远程回家的
还有一个是 windows 的 Rdp 远程端口,设置的 3398 ,只有在 windows 开机后才会开始映射

路由器的日志里看不到有其他地址接入,请问大佬们我该如何排查和解决
2992 次点击
所在节点    宽带症候群
14 条回复
huahsiung
332 天前
都有公网 IP 了,你路由器没有日志记录或者上级没有防火墙??比如( OPNsense ),要不在内网部署蜜罐。

以我的感觉,应该不是入侵(如果蜜罐没有被踩的话),先排查一下路由器。
monkey110
332 天前
路由器重置,关闭路由 ssh ,断开其他设备使用手机设置路由管理页面强密码,再尝试是否问题依旧。
信息不足,默认路由为官方固件非魔改固件。
gearfox
332 天前
路由器出问题了吧
acbot
332 天前
@gearfox 我也觉得 这个情况是是路由器本身硬件有问题可能性居多(比如:温度等) 或者是系统或有服务类软件不稳定
mohumohu
332 天前
软路由 bug 多不奇怪,不会是 openwrt 吧
tanranran
332 天前
99%是路由器的问题,换个便宜的路由器测试下
aru
331 天前
在家里直接打开 windows 那台机器,是不是也会断网
看样子是 Windows 机器 开机后有大量的连接,导致软路由重启
感觉就是软路由有问题了
intoext
331 天前
一看就是路由器问题。换一台可解。
documentzhangx66
331 天前
1.换个 TPLink 的硬路由试试。

2.凡是给公网开了端口映射的,一律要装 fail2ban/linux wall2ban/windows ,端口也要对本区域 IP 做白名单。
TheNine
327 天前
@acbot
@huahsiung
@gearfox
@intoext
@tanranran
联系了中兴的厂商让我更新了最新的固件,还是出现问题。让我确定是不是运营商的问题
请教一下大佬是否知道如何用 wireshark 抓取到路由器的 pppoe 协议交互报文来确定是否是上联光猫设备断开的连接
acbot
327 天前
@TheNine

因为是特定应用环境出现的路由器重启,所以很其他人一样我也怀疑是你路由器有问题(硬件,温度,性能或者是某些服务不稳定),并且大概率是这个问题!

如果你是品牌路由器那么有的会提供诊断抓包工具,如果没有提供有没有 telnet ssh 这种登陆方式的话,那么你基本上在路由器这个层面操作不了抓包。

其实,如果你真怀疑是运营商你可以把光猫改回路由模式,用光猫拨号和端口映射试用一段时间,如果还是不正常那么就是运营商的问题,如果正常了就很明显是你路由器的问题!

这里说的前提都是针对你说的路由器重启而不是频繁掉线
TheNine
327 天前
@acbot 感谢大佬回复!
我忘记补充了,因为我设备放的那个房子我是不过去的,都是远程连接的,所以一开始判断错了以为是路由器重启。
昨天发现实际上是 PPPOE 重拨,而且是没有规律的,有时候几分钟有时候几个小时,就会出现 PPPOE 断开然后重新拨号
。所以想要抓包
路由器是能开启 telnet 的,但是本人水平有限不知道该如何抓包😢
acbot
327 天前
@TheNine

如果是频繁掉线那么就是另外的情况了,这个时候就应该是怀疑光猫的问题了!

不论是软路由还是品牌路由器大多可以开启详细日志,看日志就可以了! 非要抓包先看看你路由器 WEB 管理界面中看是否提供抓包诊断功能,有得话直接用,没有就得安装 tcpdump 这种抓包工具然后分析!

光猫是不是官方光猫,光猫的光衰如何,光猫使用年限 我觉得你应该从这些方面去排查!
huahsiung
327 天前
@TheNine wireshark 一般是 gui 界面好用,虽然命令行也可以用,但是没有 tcpdump 简单,一般 tcpdump 系统都会自带。比如 tcpdump -i ens32 pppoes -w /tmp/cat.cap 。把 ens32 网卡的包抓到包。然后可以把 cat.cap 拷到桌面用 wireshark 打开进行分析。

感觉可能是对链接数有限制???,我在知乎上看到这样的问题,他们描述跑迅雷,百度云(会员)等多线程下载,pppoe 就会断开,然后重新拨号。你可以去知乎看看这些问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/945484

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX