V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
TheNine
V2EX  ›  宽带症候群

怀疑家里的网络被入侵,该如何排查

  •  
  •   TheNine · 2023-06-03 15:41:08 +08:00 · 3170 次点击
    这是一个创建于 539 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近路由器频繁重启,奇怪的是每次都是我远程家里的 linux 打开我的 windows 机器后,差不多二十分钟左右,就会路由器就会重启,我的远程就会离线

    有一个动态公网,ddns 到域名。开了 3 个端口
    一个是一台 Linux SSH 端口(非 22),用 RAS 密钥登陆的,主要用于远程开机家里的 windows 主机
    还有一个是 vpn 端口,为了远程回家的
    还有一个是 windows 的 Rdp 远程端口,设置的 3398 ,只有在 windows 开机后才会开始映射

    路由器的日志里看不到有其他地址接入,请问大佬们我该如何排查和解决
    第 1 条附言  ·  2023-06-08 13:26:22 +08:00
    请教一下大佬如何利用 wireshark 抓取到路由器的 pppoe 协议交互报文来确定是否是上联设备断开的连接
    14 条回复    2023-06-08 19:49:54 +08:00
    huahsiung
        1
    huahsiung  
       2023-06-03 17:20:32 +08:00   ❤️ 1
    都有公网 IP 了,你路由器没有日志记录或者上级没有防火墙??比如( OPNsense ),要不在内网部署蜜罐。

    以我的感觉,应该不是入侵(如果蜜罐没有被踩的话),先排查一下路由器。
    monkey110
        2
    monkey110  
       2023-06-03 17:24:18 +08:00
    路由器重置,关闭路由 ssh ,断开其他设备使用手机设置路由管理页面强密码,再尝试是否问题依旧。
    信息不足,默认路由为官方固件非魔改固件。
    gearfox
        3
    gearfox  
       2023-06-03 17:46:54 +08:00
    路由器出问题了吧
    acbot
        4
    acbot  
       2023-06-03 21:55:03 +08:00
    @gearfox 我也觉得 这个情况是是路由器本身硬件有问题可能性居多(比如:温度等) 或者是系统或有服务类软件不稳定
    mohumohu
        5
    mohumohu  
       2023-06-03 22:07:21 +08:00
    软路由 bug 多不奇怪,不会是 openwrt 吧
    tanranran
        6
    tanranran  
       2023-06-03 22:12:07 +08:00
    99%是路由器的问题,换个便宜的路由器测试下
    aru
        7
    aru  
       2023-06-04 09:39:43 +08:00
    在家里直接打开 windows 那台机器,是不是也会断网
    看样子是 Windows 机器 开机后有大量的连接,导致软路由重启
    感觉就是软路由有问题了
    intoext
        8
    intoext  
       2023-06-04 14:15:00 +08:00
    一看就是路由器问题。换一台可解。
    documentzhangx66
        9
    documentzhangx66  
       2023-06-04 21:28:15 +08:00
    1.换个 TPLink 的硬路由试试。

    2.凡是给公网开了端口映射的,一律要装 fail2ban/linux wall2ban/windows ,端口也要对本区域 IP 做白名单。
    TheNine
        10
    TheNine  
    OP
       2023-06-08 13:28:43 +08:00
    @acbot
    @huahsiung
    @gearfox
    @intoext
    @tanranran
    联系了中兴的厂商让我更新了最新的固件,还是出现问题。让我确定是不是运营商的问题
    请教一下大佬是否知道如何用 wireshark 抓取到路由器的 pppoe 协议交互报文来确定是否是上联光猫设备断开的连接
    acbot
        11
    acbot  
       2023-06-08 14:30:03 +08:00   ❤️ 1
    @TheNine

    因为是特定应用环境出现的路由器重启,所以很其他人一样我也怀疑是你路由器有问题(硬件,温度,性能或者是某些服务不稳定),并且大概率是这个问题!

    如果你是品牌路由器那么有的会提供诊断抓包工具,如果没有提供有没有 telnet ssh 这种登陆方式的话,那么你基本上在路由器这个层面操作不了抓包。

    其实,如果你真怀疑是运营商你可以把光猫改回路由模式,用光猫拨号和端口映射试用一段时间,如果还是不正常那么就是运营商的问题,如果正常了就很明显是你路由器的问题!

    这里说的前提都是针对你说的路由器重启而不是频繁掉线
    TheNine
        12
    TheNine  
    OP
       2023-06-08 16:43:31 +08:00
    @acbot 感谢大佬回复!
    我忘记补充了,因为我设备放的那个房子我是不过去的,都是远程连接的,所以一开始判断错了以为是路由器重启。
    昨天发现实际上是 PPPOE 重拨,而且是没有规律的,有时候几分钟有时候几个小时,就会出现 PPPOE 断开然后重新拨号
    。所以想要抓包
    路由器是能开启 telnet 的,但是本人水平有限不知道该如何抓包😢
    acbot
        13
    acbot  
       2023-06-08 17:30:46 +08:00   ❤️ 1
    @TheNine

    如果是频繁掉线那么就是另外的情况了,这个时候就应该是怀疑光猫的问题了!

    不论是软路由还是品牌路由器大多可以开启详细日志,看日志就可以了! 非要抓包先看看你路由器 WEB 管理界面中看是否提供抓包诊断功能,有得话直接用,没有就得安装 tcpdump 这种抓包工具然后分析!

    光猫是不是官方光猫,光猫的光衰如何,光猫使用年限 我觉得你应该从这些方面去排查!
    huahsiung
        14
    huahsiung  
       2023-06-08 19:49:54 +08:00
    @TheNine wireshark 一般是 gui 界面好用,虽然命令行也可以用,但是没有 tcpdump 简单,一般 tcpdump 系统都会自带。比如 tcpdump -i ens32 pppoes -w /tmp/cat.cap 。把 ens32 网卡的包抓到包。然后可以把 cat.cap 拷到桌面用 wireshark 打开进行分析。

    感觉可能是对链接数有限制???,我在知乎上看到这样的问题,他们描述跑迅雷,百度云(会员)等多线程下载,pppoe 就会断开,然后重新拨号。你可以去知乎看看这些问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2735 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 06:11 · PVG 14:11 · LAX 22:11 · JFK 01:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.