Dziwne zachowanie routera - skanuje mi sieć :( Jak sprawdzić źródło pochodzenia?

Zagadnienia bezpieczeństwa w systemie
ODPOWIEDZ
kamil2234
Posty: 46
Rejestracja: 21 września 2011, 17:20

Dziwne zachowanie routera - skanuje mi sieć :( Jak sprawdzić źródło pochodzenia?

Post autor: kamil2234 »

Mam asusa ac68u z frimware merlina 378.50, który jak się okazało wybudza mi sam urządzenia sieciowe. Np na porcie 80 wywołuje sobie stronę serwera www. Skanuje wszystkie włączone urządzenia IP wysyłając do nich pakiety. Ustaliłem to przypadkiem gdy, mój skrypt php na serwerze www sam się wywoływał. Kiedy napisałem logi okazało się, że to mój router to wywołuje. Odłączyłem go od neta, wgrałem ponownie oryginalne firmware, przywracałem domyślne ustawienia i nic nie pomaga.


Od wczoraj próbuję zidentyfikować źródło pochodzenia pakietów, które generuje mój router, ale nie wiem jak zidentyfikować proces w systemie, który go generuje. Zainstalowałem TCPdump i oto wyniki:

Kod: Zaznacz cały

tcpdump -i br0 dst host 192.168.2.162 and dst port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:58:31.284933  IP router.asus.com.33295 > 192.168.2.162.www: Flags [S], seq  52942906, win 5840, options [mss 1460,sackOK,TS val 4294949917 ecr  0,nop,wscale 4], length 0
12:58:31.285341 IP router.asus.com.33295  > 192.168.2.162.www: Flags [.], ack 914995428, win 365, options  [nop,nop,TS val 4294949917 ecr 2773242], length 0
12:58:31.285525 IP  router.asus.com.33295 > 192.168.2.162.www: Flags [P.], seq 0:39, ack  1, win 365, options [nop,nop,TS val 4294949917 ecr 2773242], length 39
12:58:31.286860  IP router.asus.com.33295 > 192.168.2.162.www: Flags [.], ack 1449,  win 546, options [nop,nop,TS val 4294949917 ecr 2773242], length 0
12:58:31.286934  IP router.asus.com.33295 > 192.168.2.162.www: Flags [.], ack 1765,  win 727, options [nop,nop,TS val 4294949917 ecr 2773242], length 0
12:58:31.287034  IP router.asus.com.33295 > 192.168.2.162.www: Flags [R.], seq 39,  ack 1765, win 727, options [nop,nop,TS val 4294949917 ecr 2773242],  length 0
Na infolinii Asus nikt nic nie wie. Będę wdzięczny za pomoc.
Na górę
kamil2234
Posty: 46
Rejestracja: 21 września 2011, 17:20

Post autor: kamil2234 »

Dobra znalazłem sprawcę. Proces nazywa się "networkmap" , usługa skanuje sieć również na procie www. Jest to usługa wbudowana w większość routerów asus z asuswrt. Dlatego może uniemożliwiać hibernację dysków sieciowych takich jak synology.

Aby go zabić trzeba wydać polecenie : killall networkmap. Niestety proces się reaktywuje po kilku sekundach więc trzeba to zrobić skryptem w pętli ze sleep.
Na górę
ODPOWIEDZ

Wróć do „Bezpieczeństwo”