iT邦幫忙

0

是否被入侵了

各位前輩:
公司防火牆出現了訊息,如圖紅圈所示,來源IP:172.26.152.185,查不到來源,目的IP:224.0.0.1,為美國,請問各位前輩,這是否代表被入侵了?

14
zyman2008
iT邦大師 8 級 ‧ 2015-06-23 14:14:43
最佳解答

IP address: 172.26.152.185,若以RFC 1918的定義,是屬於private IP的範圍.
簡單說就是使用在內部網路,不應該出現在Internet上被routing.
所以可以合理的判斷這個來源來自內部的機率最大.

IP address: 224.0.0.1,若以RFC 1112的定義,是屬於multicast的定址範圍.
並且224.0.0.1被定義為,整個multicast網路內所有的hosts.

所以解讀這筆log,意思就是:
有一IP address為172.26.152.185的host,發multicast封包,目的是網路上所有的multicast host.
我的經驗是,這樣的封包很常在小烏龜(DSL modem)發出來.小烏龜下面接的防火牆,就會出現這類的log.因為防火牆的預設規則大都是阻擋WAN端的封包.

mytiny iT邦大師 1 級 ‧ 2015-06-23 18:48:28 檢舉

版大的貼圖看起來應該用的是Fortigate的設備
Fortigate防火有個特性就是先看interface再看IP
這樣都是內網介面,因此不太像由WAN端的小烏龜發出

2

aaioo提到:
224.0.0.1

http://www.pczone.com.tw/thread-38938.html

這篇讓您參考
172開頭照理說是Private IP
請在看你的IP管理表
172網段是否有誰在設定
務必要查到VM的Guest OS

4
mytiny
iT邦大師 1 級 ‧ 2015-06-23 18:53:18

版大的貼圖看起來應該用的是Fortigate的設備
Fortigate防火牆有個特性就是先看interface再看IP
這樣都是內網介面,因此不太像由WAN端的小烏龜發出
小弟倒是認為可能是有人私接設備入內網所發出
該設備IP非原始內網網段而發出multicast封包,所以被記錄
還有,版大的OS版本也太舊了,實在該升級一下

我要發表回答

立即登入回答