怀疑家里的网络被入侵,该如何排查

2023-06-03 15:41:08 +08:00
 TheNine
最近路由器频繁重启,奇怪的是每次都是我远程家里的 linux 打开我的 windows 机器后,差不多二十分钟左右,就会路由器就会重启,我的远程就会离线

有一个动态公网,ddns 到域名。开了 3 个端口
一个是一台 Linux SSH 端口(非 22),用 RAS 密钥登陆的,主要用于远程开机家里的 windows 主机
还有一个是 vpn 端口,为了远程回家的
还有一个是 windows 的 Rdp 远程端口,设置的 3398 ,只有在 windows 开机后才会开始映射

路由器的日志里看不到有其他地址接入,请问大佬们我该如何排查和解决
3198 次点击
所在节点    宽带症候群
14 条回复
huahsiung
2023-06-03 17:20:32 +08:00
都有公网 IP 了,你路由器没有日志记录或者上级没有防火墙??比如( OPNsense ),要不在内网部署蜜罐。

以我的感觉,应该不是入侵(如果蜜罐没有被踩的话),先排查一下路由器。
monkey110
2023-06-03 17:24:18 +08:00
路由器重置,关闭路由 ssh ,断开其他设备使用手机设置路由管理页面强密码,再尝试是否问题依旧。
信息不足,默认路由为官方固件非魔改固件。
gearfox
2023-06-03 17:46:54 +08:00
路由器出问题了吧
acbot
2023-06-03 21:55:03 +08:00
@gearfox 我也觉得 这个情况是是路由器本身硬件有问题可能性居多(比如:温度等) 或者是系统或有服务类软件不稳定
mohumohu
2023-06-03 22:07:21 +08:00
软路由 bug 多不奇怪,不会是 openwrt 吧
tanranran
2023-06-03 22:12:07 +08:00
99%是路由器的问题,换个便宜的路由器测试下
aru
2023-06-04 09:39:43 +08:00
在家里直接打开 windows 那台机器,是不是也会断网
看样子是 Windows 机器 开机后有大量的连接,导致软路由重启
感觉就是软路由有问题了
intoext
2023-06-04 14:15:00 +08:00
一看就是路由器问题。换一台可解。
documentzhangx66
2023-06-04 21:28:15 +08:00
1.换个 TPLink 的硬路由试试。

2.凡是给公网开了端口映射的,一律要装 fail2ban/linux wall2ban/windows ,端口也要对本区域 IP 做白名单。
TheNine
2023-06-08 13:28:43 +08:00
@acbot
@huahsiung
@gearfox
@intoext
@tanranran
联系了中兴的厂商让我更新了最新的固件,还是出现问题。让我确定是不是运营商的问题
请教一下大佬是否知道如何用 wireshark 抓取到路由器的 pppoe 协议交互报文来确定是否是上联光猫设备断开的连接
acbot
2023-06-08 14:30:03 +08:00
@TheNine

因为是特定应用环境出现的路由器重启,所以很其他人一样我也怀疑是你路由器有问题(硬件,温度,性能或者是某些服务不稳定),并且大概率是这个问题!

如果你是品牌路由器那么有的会提供诊断抓包工具,如果没有提供有没有 telnet ssh 这种登陆方式的话,那么你基本上在路由器这个层面操作不了抓包。

其实,如果你真怀疑是运营商你可以把光猫改回路由模式,用光猫拨号和端口映射试用一段时间,如果还是不正常那么就是运营商的问题,如果正常了就很明显是你路由器的问题!

这里说的前提都是针对你说的路由器重启而不是频繁掉线
TheNine
2023-06-08 16:43:31 +08:00
@acbot 感谢大佬回复!
我忘记补充了,因为我设备放的那个房子我是不过去的,都是远程连接的,所以一开始判断错了以为是路由器重启。
昨天发现实际上是 PPPOE 重拨,而且是没有规律的,有时候几分钟有时候几个小时,就会出现 PPPOE 断开然后重新拨号
。所以想要抓包
路由器是能开启 telnet 的,但是本人水平有限不知道该如何抓包😢
acbot
2023-06-08 17:30:46 +08:00
@TheNine

如果是频繁掉线那么就是另外的情况了,这个时候就应该是怀疑光猫的问题了!

不论是软路由还是品牌路由器大多可以开启详细日志,看日志就可以了! 非要抓包先看看你路由器 WEB 管理界面中看是否提供抓包诊断功能,有得话直接用,没有就得安装 tcpdump 这种抓包工具然后分析!

光猫是不是官方光猫,光猫的光衰如何,光猫使用年限 我觉得你应该从这些方面去排查!
huahsiung
2023-06-08 19:49:54 +08:00
@TheNine wireshark 一般是 gui 界面好用,虽然命令行也可以用,但是没有 tcpdump 简单,一般 tcpdump 系统都会自带。比如 tcpdump -i ens32 pppoes -w /tmp/cat.cap 。把 ens32 网卡的包抓到包。然后可以把 cat.cap 拷到桌面用 wireshark 打开进行分析。

感觉可能是对链接数有限制???,我在知乎上看到这样的问题,他们描述跑迅雷,百度云(会员)等多线程下载,pppoe 就会断开,然后重新拨号。你可以去知乎看看这些问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/945484

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX