防火牆偵測到外部IP Ping好幾個內部IP該如何處置？ - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1

防火牆偵測到外部IP Ping好幾個內部IP該如何處置？

防火牆＃資訊＃資安＃新手＃小白

菜雞 2022-12-13 15:57:21 ‧ 1988 瀏覽

分享至

各位大佬好
小弟今天檢查防火牆發現有一外部IP ping了我多個內部IP位址(輪詢?)，覺得不正常有必要弄清楚，目前對來源IP 74.214.196.131沒什麼頭緒，只先做了黑名單檢查，IPSHU全綠燈，想請問大佬們碰到這種狀況該怎麼處理(排除流程)？
之前也出現過相似形況，但是從內部ping內部，後來有檢查到是某軟體派送輪詢被防火牆偵測到。

看更多先前的討論...收起先前的討論...

小處成就大事 iT邦研究生 2 級 ‧ 2022-12-13 16:26:49 檢舉

對方如何從外部ping到你的內部ip？

菜雞 iT邦新手 5 級 ‧ 2022-12-13 16:34:36 檢舉

目前還沒查出原因，懷疑某PC安裝軟體造成

小處成就大事 iT邦研究生 2 級 ‧ 2022-12-13 17:06:56 檢舉

> 目前還沒查出原因，懷疑某PC安裝軟體造成
比較合理的狀況有可能是：某軟體的伺服器IP是74.214.196.131。
然後這個軟體會在公司內部用ping的方式聯繫其他有安裝此軟體的PC。
以上純屬個人猜測。
不過你可以先從被列出的內部IP去查看這些PC有哪些相似之處，例如是不是都有安裝某某軟體之類的。

菜雞 iT邦新手 5 級 ‧ 2022-12-14 17:02:02 檢舉

謝謝回覆，先封鎖該IP，有先調出這兩週軟體變更紀錄，目前還沒抓到共通點，努力中

窮嘶發發發 iT邦高手 1 級 ‧ 2022-12-15 11:37:01 檢舉

ICMP 直接關了啊，正常都不該開著ICMP，雖然某些查修會不方便，但是會比較安全，但也有某些軟體會不能用，不過ICMP本來就是有漏洞的協議

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

2 個回答

6

Ray

iT邦大神 1 級 ‧ 2022-12-13 19:27:54

ICMP 封包的 Source Address 是可以被偽造的, 下面這段程式, 可以偽造出從 1.2.3.4 發送 ICMP 到 8.8.8.8 的封包:
https://github.com/Subangkar/ICMP-Ping-Spoofing

所以比較有可能的狀況是:
你有某一台內網電腦被入侵, 且被植入了某種探測工具; 他在內網, 用偽造的 ICMP 封包對你的內網進行探測...

回應 1
分享
檢舉

菜雞 iT邦新手 5 級 ‧ 2022-12-14 16:58:53 檢舉

謝謝回覆，目前暫時先封鎖該ip進\出，再來查軟體

登入發表回應

0

BKY

iT邦好手 1 級 ‧ 2022-12-14 11:13:40

防火牆外部ping內部最好全鎖掉
要不然就是google一下IP來源是哪個國家
如果來源和貴公司業務無關就擋掉它

回應 1
分享
檢舉

菜雞 iT邦新手 5 級 ‧ 2022-12-14 16:59:42 檢舉

謝謝回答，外部ping防火牆部分一直都是關閉的，但外部能直ping到內部ip就覺得有問題了，目前暫時先封鎖該ip，再來查軟體

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22052 篇

完賽人數

594 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙