现在都使用 NAT 网关,为什么还是会被远程控制安装病毒?

2017-05-13 16:00:00 +08:00
 mengyaoss77

在私有地址网络下的主机端口,应该不会暴露给公网啊。 那些中了勒索软件的学校不会没使用 NAT 网关吧? 想不通这个问题,还请各位大神解释解释。

5190 次点击
所在节点    问与答
37 条回复
RHFS
2017-05-13 16:01:47 +08:00
所以这次中枪的是 教育网 普通用户 好像还没听到几个中招
在校大学生中的偏多
mengyaoss77
2017-05-13 16:11:16 +08:00
更正一下,网络书上写的应该是专用地址(private address)。
@RHFS #1 学校也用 nat 网关啊,内部都是局域网的。
所以是不是可以这样解释:一台暴露给公网的主机中了招,然后通过局域网传播给内部所有主机?
mengyaoss77
2017-05-13 16:13:35 +08:00
如果我的分析是正确的,那么之前看到的学校甩锅给操作系统的行为就是极其可耻了,暴露给公网的主机没有及时的做好安全补丁,导致内部局域网的主机都中招。
ProjectAmber
2017-05-13 16:17:33 +08:00
1、学校分配的是公网 IP。
2、防火墙没做好。
mengyaoss77
2017-05-13 16:18:41 +08:00
@ProjectAmber #4 现在的学校都那么有钱啊,这么多公网 IP 用,我本科和研究生学校都给的是私有地址的 orz
leafleave
2017-05-13 16:36:39 +08:00
估计他们没有 AP 隔离?才导致局域网传播
jasontse
2017-05-13 16:47:24 +08:00
暴露在公网的服务器受感染后会进一步传播到局域网
laobubu
2017-05-13 16:48:28 +08:00
我们学校大多数账号都是公网 IP,包括宿舍和部分校园 WiFi
有趣的是暂时还没有听说谁中招( IP 地址是 21x.xx.xx.xx, 刚才随手用端口扫描软件看了一下还是有很多人开着 445 端口的
aip
2017-05-13 16:52:27 +08:00
@mengyaoss77 应该就是这种传播路径。许多主机为了方便,同时连接教育网和学校内网,哪怕没做 NAT 网关服务,也能感染一大片。
mengyaoss77
2017-05-13 16:54:36 +08:00
@laobubu #8 那你们学校挺厉害的,可能你们学校做了防火墙? 23333
zjqzxc
2017-05-13 16:57:43 +08:00
学校好像都有相对充足的公网 IP 数量,目前了解到大部分高校师生使用的 IP 都是公网 IP

不过,现在有观点认为这货可能带有蠕虫属性,如果属实,即使使用了 NAT,一台感染的机器接入校园网后就会把整个校园网给传染
anoymoux
2017-05-13 16:59:25 +08:00
CVE-2017-0199+MS17-010
批量发送邮件,一旦有小白打开附件的 word 文件,内外网就没区别了。。
mengyaoss77
2017-05-13 17:03:30 +08:00
@anoymoux #12 发邮件这种明着传播的就没办法了 ~
anoymoux
2017-05-13 17:09:09 +08:00
@anoymoux 前几天又出了个漏洞,不需要打开附件,收到邮件,甚至打开网页就 GG。。安全意识在高也是防不胜防
zmj1316
2017-05-13 17:33:36 +08:00
学校和医院内网发达,有一个进了内网就直接批量扫端口感染了
rssf
2017-05-13 17:37:53 +08:00
因为既懒又蠢
dremy
2017-05-13 17:48:02 +08:00
@jasontse 我们学校官网服务器今早据说中了此毒,停机了 3 个小时修复,中途还全校断网。服务器同时连接教育网和校内局域网,为啥没有在全校爆发?难道是监控很到位及时处理了么,感觉并没有这样的水平。
mengyaoss77
2017-05-13 17:57:09 +08:00
@dremy 有可能只是停机打补丁,并没有中招 233
dremy
2017-05-13 18:03:42 +08:00
@mengyaoss77 233,估计是谣传,学校能有这样的觉悟,赞👍
essethon
2017-05-13 18:22:04 +08:00
@mengyaoss77 当年我们学校本科生宿舍每人床位的网口静态公网 IP,根据公网 IP 都能知道哪间宿舍几号床…… 现在改动态分配了,然而还是全公网 IP = =

不过我们学校在网络安全这块,应该算是国内高校里面反应比较快的,上个月可能 Shadow Broker 的事件比较火的那阵子就把几个高危端口在校园网出口上封了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/361094

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX