• 4

駭客入侵!!求解決方法!!

hinet 光世代60M/20M,2台電腦
ZYXEL P880 有線接MikroTik RB450 有線接電腦主機Windows 7家用進階版(192.168.88.0/24)
Zyxel P880 pppoe service 有線接到電腦主機Windows 7(192.168.1.0/24)

2014/09/01希望有合勤科技P880關ARP的韌體,有沒有大大可以幫忙的?


一直有駭客入侵我的電腦,試過多種軟體路由pfsense....
各種防火牆,防毒軟體,硬碟用ubuntu DD指令填0 不下20次...沒用
ubutu 12.04 live CD 沒用。
之前發生過一日有十萬個IP攻擊(IP列表還在01上面不過那天只有7萬多個)
後來發現routeros 可以過濾虛假IP,變成一日幾百個IP。
就怕被當作跳板,因為DNS解析失敗後,網路、電腦就變慢了,
i7 930看youtube 360P就一直停格,
沒事的時候P4 2.8內建SIS顯卡,看480P也只是小lag可以接受。

DNS本來都是用8.8.8.8,那天沒改到DNS是自動取得,
結果電腦就好了半小時左右吧,所以判斷是某種DNS劫持的方法,
於是我用routeros DNS劫持,劫持我自己的DNS
這樣我的電腦安靜了.順了.網路快了,好了大概不到3天吧,
又從DNS CACHE裡發現224.1.1.1的群播IP
這才發現又破功了,8/26發現可以用DNS走VPN這個方法,
照著gfx大大的教學文設定tsunagarumon,讓8.8.8.8 DNS走VPN
今天08/28又在電腦的ARP表中發現224.1.1.1的群播IP.....

以下是自己猜測駭客使用的方法以及想到的解決方法....
小烏龜被發ARP然後pppoe會話被劫持,
流量經過駭客主機,不然要群播應該沒意義,同時判斷駭客應該在同棟大樓.
一開始我也覺得不太可能,但我己經把HD都填0然後只裝Windows、ubuntu,沒用..
一切都是在我搬家後發生的,光碟都是在之前就燒好的.
RB450 WAN與LAN上的ARP全關閉,bridge只允許WAN的pppoe(有MAC過濾) 與LAN的TCP和UDP.
RB450 pppoe server我也試過,沒用.


請教各位大大
換成企業型固 6IP? 還是居易有出VDSL2的可以關ARP嗎?
可能有人想再搬家就好了,但是另一個角度想,找出解決方法比較重要,
不然搬到那裡都有可能會再發生,而且不一定會發現.

還有如果要報案,這種情形有辦法嗎?

我自己也拿不出確切的證據可以證明,這也幾乎沒有辦法可以證明,
還是有什麼辦法可以證明的也請告訴我!!

謝謝各位大大!!


這是電腦接P880,抓到不知那裡的ARP封包.
http://attach.mobile01.com/attach/201408/mobile01-015018988e1ebe3e3281cab21becb83a.jpg
2014-08-28 21:35 發佈

chief51688 wrote:
一直有駭客入侵我的電...(恕刪)


你網路架構是怎樣子的?

電腦有幾台有啥服務?
電腦大小事,鼎哥最在行~!!
hinet 光世代60M/20M,2台電腦
ZYXEL P880 有線接MikroTik RB450 有線接電腦主機Windows 7家用進階版(192.168.88.0/24)
Zyxel P880 pppoe service 有線接到電腦主機Windows 7(192.168.1.0/24)

只裝chrome,firefox,potplayer,白馬下載器,wireshark..單純家用主機
另一台也是上網看小說,看youtube...二台沒http或FTP.Mail......服務



RB450設定WAN與LAN Bridge 只允許WAN PPPoe撥號與LAN端的TCP與UDP
透過日本VPN連中華電信DNS.
chief51688 wrote:
hinet 光世代6...(恕刪)


相關網站看看怎看都是廣播系統之類的

維基百科

駭客!????????????????????????????????????

http://whois.domaintools.com/224.1.1.1



真的是攻擊!?

那還要再看看封包是否有被修改

我電腦裡也有呢!
├愛像是什麼┼只能用人生百態去看待┤
葡萄不一樣 wrote:
相關網站看看怎看都是...(恕刪)


感謝大大的回答!!
其實我也不知道224.1.1.1在ARP表裡,對駭客是不是有什麼作用,
只是dnscache有224.1.1.1這組IP與不明的網址,然後ARP裡就會出現這組IP,
所以才想說會不會跟這個有關,有時我的DNScache還會記錄著localhost但不是127.0.0.1的IP.




禁止外網使用 RB450G DNS Server


入侵 ?
感覺上樓主的 DNS 被共享了,以前我也發生過,禁止外網後就好。
JQJQ wrote:
禁止外網使用 RB4...(恕刪)


感謝大大的回答

禁止外網使用DNS server己經有設定了.
chain=input action=drop connection-state=new protocol=udp in-interface=!bwan dst-port=53 log=no log-prefix=""
chain=input action=drop protocol=udp src-address=!192.168.88.10 dst-port=53 log=no log-prefix="

DNS SERVER我本來是沒在用的,因為判斷是DNS被劫持,所以才開DNS SERVER配合規則,
劫持自己電腦的DNS,沒想到才過沒3天又被入侵了.
後來改用VPN查詢DNS就沒在用DNS SERVER,也是沒用
這是為了拍照才又用DNS SERVER
沒考慮過你電腦中木馬? 有沒有換過密碼或關掉inbound port

為何只有2台電腦就要搞2個subnet
樓主您使用中華電信的線路,

1. 但又是大樓共用...
2. 我看到 10 開頭的 ip ...
3. 在問 10 這網域的 gateway
4. 發問者 alcate-lucent

感覺這是中華電信MOD或者它的線上串流服務.

就你給的訊息來看可能是以下的封包.
1. MOD
2. 線上 streaming

而 224.1.1.1 單純就您提供的組態來看, 應該是分享器用來做 igmp snooping /group 的吧 !


所以綜合來看, 小烏龜後面接線沒注意... 把外網的封包接到內網來了

以上淺見, 射後不理喔.





chief51688 wrote:
一直有駭客入侵我的電腦,試過多種軟體路由pfsense....
各種防火牆,防毒軟體,硬碟用ubuntu DD指令填0 不下20次...沒用
ubutu 12.04 live CD 沒用。
之前發生過一日有十萬個IP攻擊(IP列表還在01上面不過那天只有7萬多個)
後來發現routeros 可以過濾虛假IP,變成一日幾百個IP。
就怕被當作跳板,因為DNS解析失敗後,網路、電腦就變慢了,
i7 930看youtube 360P就一直停格,
沒事的時候P4 2.8內建SIS顯卡,看480P也只是小lag可以接受。
DNS本來都是用8.8.8.8,那天沒改到DNS是自動取得,
結果電腦就好了半小時左右吧,所以判斷是某種DNS劫持的方法,
於是我用routeros DNS劫持,劫持我自己的DNS
這樣我的電腦安靜了.順了.網路快了,好了大概不到3天吧,
又從DNS CACHE裡發現224.1.1.1的群播IP
這才發現又破功了,8/26發現可以用DNS走VPN這個方法,
照著gfx大大的教學文設定tsunagarumon,讓8.8.8.8 DNS走VPN
今天08/28又在電腦的ARP表中發現224.1.1.1的群播IP.....
以下是自己猜測駭客使用的方法以及想到的解決方法....
小烏龜被發ARP然後pppoe會話被劫持,
流量經過駭客主機,不然要群播應該沒意義,同時判斷駭客應該在同棟大樓.
一開始我也覺得不太可能,但我己經把HD都填0然後只裝Windows、ubuntu,沒用..
一切都是在我搬家後發生的,光碟都是在之前就燒好的.
RB450 WAN與LAN上的ARP全關閉,bridge只允許WAN的pppoe(有MAC過濾) 與LAN的TCP和UDP.
RB450 pppoe server我也試過,沒用.


這段寫的好專業
我買了RB750GL也只動了我需要的少部份東西
其它就沒多研究了
你關了WAN對Internet的ICMP封包回應嗎?
以下先以駭客不存在的情形來討論


ZYXEL P880 有線接MikroTik RB450 有線接電腦主機Windows 7家用進階版(192.168.88.0/24)
Zyxel P880 pppoe service 有線接到電腦主機Windows 7(192.168.1.0/24)
所有的敘述都沒有指明是哪台電腦
第二台是P880開分享器功能的硬撥接電腦
第一台是還再過個RB450 所以這台要穿兩層NAT

到這裡 比較有問題的是第二台電腦
它前面的防火牆比較弱 且又要做數據機跟分享器的工作


chief51688 wrote:
其實我也不知道224.1.1.1在ARP表裡,對駭客是不是有什麼作用,
只是dnscache有224.1.1.1這組IP與不明的網址,然後ARP裡就會出現這組IP,
所以才想說會不會跟這個有關,有時我的DNScache還會記錄著localhost但不是127.0.0.1的IP.


224.1.1.1會存在你的ARP裡 表示第一台電腦曾發出multicast request到這個IP
區網內找不到 就轉往上層送 才會記錄到RB450的DNS裡
在DNS第一張圖裡 224.1.1.1的名稱是lz0.gstatic.com (沒錯吧,圖糊糊的)
再看到最底下有三個名稱 www.blogger.com img1.blogblog.com img2.blogblog.com
第一個是Google Blogger 你有在用對吧
後面兩個看起來跟Blogger有關 但又不太一樣
我們可以查看看
經查證 img1.blogblog.com的IP為74.125.203.191 其地理位置是美國加州的Mountain View
哪家公司在Mountain View? 自己想
其他的名稱你可以按此方式慢慢查
再看回 lz0.gstatic.com 會不會是Google的統計分析主機啊?
不過你電腦的用途比你列出來的多太多了 http://www.s383.com/ 呵呵呵


chief51688 wrote:
RB450設定WAN與LAN Bridge 只允許WAN PPPoe撥號與LAN端的TCP與UDP
透過日本VPN連中華電信DNS

VPN安全是安全
不過也要看你另一端連的是什麼樣的人物
你的電腦VPN連到日本去 就進了人家的網域 人家查你方便多了


chief51688 wrote:
之前發生過一日有十萬個IP攻擊(IP列表還在01上面不過那天只有7萬多個)

這也不算是什麼攻擊
你的WAN沒關掉Internet的ICMP封包回應
人家送個ICMP過來 你就馬上回"這裡有人I'm here! I'm here!" 怪誰?
程式開下去掃你的IP開了哪些埠 再用不同的程式針對不同的埠下去做突破
P880應該是打穿了(你講的IP列表P880沒本事記那麼多 應該是RB450上看到的)
RB450就不知道了


快開學囉
收心操記得照三餐作
3C的世界裡,別滿腦子只想著"超值"。就像無線網路一樣,別人推薦的,只適用在他家的環境,到了你家又是另外一回事。小烏龜牽到北京也不會變成千里馬。
  • 4
限制級
您即將進入之討論頁 需滿18歲 方可瀏覽。
根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定,已於該限制級網頁,依台灣網站分級推廣基金會規定作標示。
評分
複製連結