নেটবিআইওএস প্যাকেট অনুসন্ধান (পোর্ট 137)। এটি কি রাউটার থেকে আসে?


0

বেশ কিছুক্ষণ ধরে আমার মেশিনের ফায়ারওয়ালটি অদ্ভুত প্যাকেটগুলি সনাক্ত করছে, সম্ভবত আমার রাউটার থেকে আসছে। আমি এই আচরণটি ব্যাখ্যা করতে পারি না। আমার সন্দেহ হয় যে কোনওভাবে বাইরে থেকে আক্রমণকারী হ'ল সোর্স আইপি অ্যাড্রেসটি ফাঁকি দিয়ে বা আমার রাউটারটি হ্যাক করে সেই প্যাকেটগুলি পাচার করছে, তবে আমার এটি নিশ্চিত হওয়া দরকার। অথবা রাউটারটি প্রস্তুতকারকের দ্বারা এটি করার জন্য পূর্বনির্ধারিত হয়?

কারও যদি ধারণা থাকে যে কারণটি কী হতে পারে তবে আমি খুব কৃতজ্ঞ হব।

কনফিগার : রাউটার / আরআরআরআরআরআরআরআর - এরিস ডাব্লুটিএম 652 বি (আমি মনে করি এটি হুডের নীচে টাচস্টোন), ফায়ারওয়াল সক্ষম।

আমার হোস্ট / এমএমএমএমএমএমএমএম আইপিটিবলগুলি সহ

আমি দুই ধরণের অপ্রত্যাশিত প্যাকেট পাই:

  • ডিএসটি পোর্ট 137 (নেটবিআইওএস) প্যাকেটগুলি রাউটারের আইপি থেকে আসছে। রাউটারের কি নেটবিআইওএস-এর সাথে কিছু অদ্ভুত "অতিরিক্ত" রয়েছে, বা এটি কোনও বহিরাগত?
  • সাথে অবৈধ অবৈধ প্যাকেট !! ?? !! এসআরসি পোর্ট = ৪৪৩ , গুগল ইনককে বরাদ্দ করা বিভিন্ন আইপি ঠিকানা থেকে আসা this এটি কি হ্যাকিংয়ের প্রচেষ্টা হতে পারে? কেউ (সম্ভবত গুগল?) আমার ফায়ারওয়ালটিতে গতিশীল নিয়মের মাধ্যমে আমার ফায়ারওয়ালটি পেতে চেষ্টা করছেন (যখন আমি গুগল অনুসন্ধান করি তখন এই নিয়মগুলি একটি গর্ত ঘুষি দেয় এবং কেউ এই ছিদ্রটি দিয়ে লুকিয়ে দেখার চেষ্টা করে)?

এখানে একটি নমুনা দেওয়া হল:

Apr 27 10:55:38 notebook kernel: iptables REJECT input: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=RR.RR.RR.RR DST=MM.MM.MM.MM LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=4108 PROTO=UDP SPT=2092 DPT=137 LEN=58 
Apr 27 10:55:42 notebook kernel: iptables REJECT input: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=RR.RR.RR.RR DST=MM.MM.MM.MM LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=4109 PROTO=UDP SPT=2092 DPT=137 LEN=58 
Apr 27 10:55:49 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=216.58.212.4 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=58408 PROTO=TCP SPT=443 DPT=53474 WINDOW=0 RES=0x00 RST URGP=0 
Apr 27 10:55:50 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=216.58.201.195 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=32104 PROTO=TCP SPT=443 DPT=34440 WINDOW=0 RES=0x00 RST URGP=0 
Apr 27 10:58:27 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=172.217.20.142 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=16097 PROTO=TCP SPT=443 DPT=38786 WINDOW=0 RES=0x00 RST URGP=0 

কোন ধারণা এখানে কি চলছে?

এমবিএক্স, খুব ভাল ধন্যবাদ


আমি মনে করি আপনি যদি আপনার রাউটারের কনফিগারেশন সম্পর্কে আমাদের আরও কিছু বলেন তবে এটি সাহায্য করবে কারণ WAN থেকে নেটবিআইওএসের ফরোয়ার্ডিং সাধারণত সেখানে ঘটে না। হিসাবে হিসাবে https, একটি রাউটার সাধারণত একটি নির্দিষ্ট দূরবর্তী উত্স বন্দর থেকে শুরু করা ট্র্যাফিকের জন্য তার ফায়ারওয়ালটি খুলবে না , এবং এর বিরুদ্ধে কেউ কিছু করতে পারে এমন খুব বেশি কিছু নেই। একটি প্রশ্ন হ'ল, অন্যান্য ল্যান ক্লায়েন্ট রয়েছে কি না এবং অন্যটি হ'ল আপনি কি এমন কোনও সরঞ্জাম ব্যবহার করতে পারবেন যা চলছে তা আরও ভাল করে চিত্রিত করতে। wireshark
সিএমডি

ক্লাস স্ট্যাকার উত্তর দেওয়ার জন্য ধন্যবাদ। দুর্ভাগ্যক্রমে, রাউটারের কনফিগারেশনটি ইউআইতে বরং সহজ। "ফায়ারওয়াল চালু" এবং "ফায়ারওয়াল বন্ধ" বলে এটিতে একটি সাধারণ রেডিও বোতাম রয়েছে। খনি "চালু" আছে। আমার কোনও উন্মুক্ত পরিষেবা বা পোর্ট ফরওয়ার্ডিং নেই। আমি বাহ্যিকভাবেও পরীক্ষা করে দেখেছি এবং কোনও টিসিপি বন্দর খোলা নেই। দ্বিতীয় সমস্যা সম্পর্কে: না, ল্যানটিতে আমার মেশিনটি একা। আমি tcpdump ব্যবহার করার চেষ্টা করেছি, তবে এটি ফায়ারওয়াল লগের চেয়ে বেশি কিছু আমাকে জানায় নি। আমি ওয়্যারশার্ক দিয়ে চেষ্টা করব।
এমব্যাক্স

প্রথম প্যাকেটের ধরণ ( পেস্টবিন.com / ইউইএইচ 12 জেডিমিকিউ ) - এটি নেটবিআইওএস নাম কোয়েরি। "রাউটার" (বা অন্য কেউ) নেটওয়ার্কে কে আছে তা স্নিগ্ধ করছে। এটা কি স্বাভাবিক? এটি দ্বিতীয় ধরণের সম্পর্কিত টিসিপি সংযোগ রিসেট গুগলের মাধ্যমে প্রেরণ করা হয়েছে ( পেস্টবিন . com / জিকিউডাব্লু 9 ইইএক্স )। এটি কি ব্রাউজারে আমার এইচটিটিপিএস সেশনের কারণে হতে পারে? আরএসটি কেন, এই সংযোগগুলির একটি সাধারণ এফআইএন, ইমোর সাথে শেষ হওয়া উচিত।
এমব্যাক্স

ওয়েবসাইট দ্বারা এজেএক্স প্রতিক্রিয়াগুলির সাথে এই জাতীয় প্যাকেট সম্পর্কিত একটি অনুরূপ থ্রেড আমি পেয়েছি (তাদের ক্ষেত্রে ফেসবুক): সিকিউরিটি.স্ট্যাকেক্সচেঞ্জ / প্রশ্নগুলি / 73৩৩৪৪/২ যদিও এগুলি খুব নিশ্চিত বলে মনে হয় না।
এমব্যাক্স

উত্তর:


0

আমার রাউটার থেকে আসা নেটবিআইএস নামের কোয়েরি নিয়ে আমি উদ্বিগ্ন হব না।

আমি অনেক রাউটার দেখেছি যে আপনি যখন তাদের ম্যাক ফিল্টারিং বিকল্পগুলিতে যান (বা যে কোনও বিকল্প যা ম্যাক ঠিকানা ব্যবহার করে কাজ করে) সেই পিসিতে সেট করা নেটবিআইওএস নামটিও দেখায়। এটি নেটওয়ার্কে কী কী মেশিনগুলি আপনার তা কাজ করা সহজ করে তোলে এবং প্রয়োজনীয় হিসাবে সেগুলি সীমাবদ্ধ করে।

আপনি যদি এখনও অনিশ্চিত থাকেন তবে আমি কি করব তা হল grc.com এ যান এবং তাদের শিল্ড আপ ব্যবহার করুন! আপনার পোর্টগুলি স্ক্যান করার জন্য সরঞ্জামগুলি এবং আপনার রাউটারের ইন্টারনেটের দিকে 137 বন্দরটি বন্ধ রয়েছে তা নিশ্চিত করে নিন। এইভাবে আপনি নিশ্চিত হয়ে উঠতে পারেন যে নামের প্রোব প্যাকেটগুলি আপনার রাউটার থেকে নিজেই আসে এবং ইন্টারনেট বড় আকারের নয়।


হ্যাঁ, আমি এটা ভেবে দেখিনি। প্রকৃতপক্ষে রাউটারটি প্রতীকী নামগুলি তুলতে সক্ষম হবে বলে মনে হচ্ছে (কমপক্ষে যখন ফায়ারওয়াল স্টাফগুলি ব্লক করছে না - যেমন প্যাড, ফোন বা উইন্ডোজ ডিভাইসের জন্য)) এটি উপলব্ধি করে।
এমব্যাক্স

0

আমি খুব বোধগম্য উত্তর সহ একটি খুব অনুরূপ থ্রেড পেয়েছি :

পার্শ্ব নোট হিসাবে, আমি কিছু আইপি রেঞ্জ সহ আমার কিছু সার্ভারেও এই জাতীয় আচরণ দেখছি। এগুলি সমস্ত আরএসটি প্যাকেট যা প্রেরণ করা হয় কারণ কিছু সাধারণ ব্যবহৃত ওয়েবসার্ভিসের ডিএনএস রোটেশনে আইপি অ্যাড্রেস থাকে যা আসলে কোনও পরিষেবা চালায় না।

পুনরুদ্ধার করার জন্য, গুগলের ক্লাস্টারগুলি এবং আইপি অ্যাড্রেসগুলি পরিবর্তন করার কারণে, সম্ভবত যা ঘটে তা হ'ল এজেএক্সের মাধ্যমে একাধিক জাভাস্ক্রিপ্ট অনুরোধ। এই গুগল সার্ভারগুলির মধ্যে কিছু সম্ভবত ডাউনটি রয়েছে এবং একটি আরএসটি প্রেরণ করুন (আইপি স্যুইচ করার পরে?)

অন্যান্য সম্ভাব্যতা হ'ল ফায়ারওয়াল বিধি বা ফায়ারওয়াল বাগের একটি ভুল কনফিগারেশন। আমি অফিসিয়াল iptables কনফিগারেশন গাইড ব্যবহার করেছি এবং নিয়মগুলি প্রায় 1: 1 ব্যবহার করেছি তাই এটি হওয়া উচিত নয়, তবে কে জানে?

এবং তৃতীয় - এটি একটি অযাচিত প্যাকেট হতে পারে, এসআরসি আইপি = রাউটার আইপি এবং ডিএসটি আইপি = আমার আইপি দিয়ে সরাসরি আমার রাউটারে প্রেরণ করা যায়। রাউটারটি এমন অবৈধ প্যাকেটগুলি না ফেলে দেওয়ার জন্য এতটাই বোবা হতে পারে। আমি যদি এটির মতো হয়ে থাকি তবে অবাক হব।

কারওর আরও ভাল ব্যাখ্যা থাকলে দয়া করে সহায়তা করুন।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.