00-14-85: GigaByte
00-0c-6e: ASUS
00-05-5d: D-Link
00-13-d4: ASUS
後三台幾乎是在同一時間進出, 但192.168.3.68 則持續04:33:01, 是否可能某個Switch/Router/AP 開機, 突然連線所造成? 別忘了ET-747 也包含Switch, 能否詳細說明你的網路環境?
你自己這台(67)或其他三台PC 是否可能被駭? #1 可看到兩個Hinet IP (59.127) 試圖連接你的139 & 445, 但被擋了下來, 網路如虎口...
贊助商連結
dylantsao
2008-08-13, 04:44 PM
http://eip.herbalmed.com.tw/picture/home_network.jpg
架構圖如上所示,真的很單純的內部有線網路架構,同樣的設備在舊家時,沒有那些奇怪的IP連進來,但是搬到新家申請FTTH之後,才發現這個狀況。
dylantsao
2008-08-14, 09:42 AM
http://eip.herbalmed.com.tw/picture/home_network02.jpg
VPN是利用MH-400和MS-3500做LAN to LAN的方式,我一直想不懂的有二點:
1.對方是如何讓我DHCP只發給它二分鐘的租借時間?因為我是統一設定10天。
2.這個架構在我之前的舊家是沒有問題的,當時也是有用ET-747,但是並沒有看到有其它不明PC進來,但是相同的設備,包含PC移到新家來,卻發生了這個情形。若舊家是對照組,新家是實驗組,它們不同的地方其一是一個用ADSL 2M/256K(對照組),一個是用FTTH 10M/2M(實驗組);另一個是一個是用自己拉的網路(對照組),另一個是用新家已拉好放管線中的網路線。
dylantsao
2008-08-14, 09:50 AM
http://eip.herbalmed.com.tw/picture/FTTH13.jpg
昨天去看,又有二個新朋友進來了......唉.......
wulala
2008-08-14, 10:37 AM
如果是PC啟用後才出現的連線,
那PC內部被植入木馬的機率很高,
試著在PC內安裝網路連線的監控程式,
把木馬給抓出來.
dylantsao
2008-08-14, 12:21 PM
從DHCP的記錄上也可以看到,進來的那幾台都是在我內部PC未開機時,就已進來了!所以應該和PC無關。
00-1D-92: MSI
00-1D-7D: Giga-Byte
請問兩台分享器是否設定登入密碼? 是否啟用遠端管理? PC03 & PC04 是否被駭?
小弟已經無計可施, 只能建議你更新分享器的韌體, 並更換IPSec Tunnel 的Pre-Shared Key, 更換時請斷開網際網路, 以提防Key-Logger, 最好是更換成其他加密方式, 例如IPSec over L2TP
其次, 建議你再檢查一下兩端VPN 設定, 是否只有各建立一組VPN 規則? VPN 是否永遠保持連線? 理論上一組VPN 規則或帳號, 只能容許一組登入, 若永遠保持連線, 那麼旁人應該無法利用同一規則或帳號登入才對, 由於你區網內已經沒有其他機器了, 所以小弟只能懷疑VPN
此外, 你是如何得知 "阿順"? 你可能為了網芳, 所以啟用NetBIOS over TCP/IP, #1 可以看出對方向DHCP 登錄 "JACK", 而由#18 來看, 其一曾經停留四個半小時, 流量卻很小, 目的為何? 小弟還是懷疑你的VPN 可能有問題, 是否先暫時關閉VPN, 再觀察幾天?
如果問題還是不能解決的話, 建議你檢舉自己的文章, 請版主協助移到網路技術版, 請更多高手提供意見, 標題最好也請版主協助修改
dylantsao
2008-08-22, 02:21 PM
1.MH-400及MS-3500登入當然是要密碼的,有啟用遠端管理但是有設定可連入住址,且連入方式是用SSL加密。PC03及PC04確定沒有被駭,因為我最近拿一台用原版軟體安裝好且更新了最新的病毒碼,其它電腦都是關機狀態,一樣會有不明使用者進來。
2.MH-400及MS-3500的韌體已是最新版,並將VPN關閉,情形一樣。
3.會知道"阿順"這個是由合勤那一台看到的,但是在網路上的芳鄰沒有看到。
4.目前的狀況應該也不是那台gogotalk的問題,因為我測試時,連那台gogotalk也把離線了,感覺是只要有連上網路時,會觸發一個gap,讓一些設備連到MH-400的DHCP並取得IP,但是又馬上消失。