請問各位網友:
我公司電腦今天被224.0.1.24入侵,目前情況不明,因為我不是網管
現在想請教的是負責的人問公司網管,結果網管告訴他224.0.1.24
不是合法IP
但我上 http://www.demon.net/cgi-bin/demon/external/netToolIP.cgi?
去查告訴我該IP是從美國來,因我不是MIS所以我對MIS說不具公信力,也
不被他採信,所以才想向各位請教 224.0.1.24 還有 224.0.0.10
都不是合法 IP 嗎?
這二個IP是今早公司同仁查到的IP,向MIS反應被凸槽回來....
敬請賜教
贊助商連結
misol
2004-07-06, 01:02 PM
送一客便便給你們MIS吧
http://www.apnic.net/apnic-bin/whois.pl?search%3D220.0.1.24
220.0.1.24 YahooBB220000001024.bbtec.net Tokyo, Japan Japan nation-wide Network of SOFTBANK BB CORP
220.0.1.24 反查 = YahooBB220000001024.bbtec.net
日本 Yahoo! BB 的寬頻用戶
sorry 我打錯標題了,是224.0.0.1 及224.0.1.24
也感謝二位網友熱心賜教謝謝
wangcm
2004-07-06, 02:24 PM
最初由 anan 發表
sorry 我打錯標題了,是224.0.0.1 及224.0.1.24
也感謝二位網友熱心賜教謝謝
224.0.0.0/240.0.0.0是class D的IP,給IP multicast用的,是那種service被入侵?? log file中有啥(也有可能是ip->FQDN spoofing,仔細看一下log中有沒有真正的ip而非FQDN)?? BTW,source IP是class D者比較像是被DoS(配合source spoofing),若真是如此也查不出什麼,頂多能在gateway上把這類traffic(ex source IP是private IP,localhost,CLASS D/E者)直接drop掉而已....
雖然不是很懂,但很感謝網友熱心解答
我已把解答複製並轉寄給同事了,希望對他有幫助
再次感謝各位賜教
raytracy
2004-07-06, 03:14 PM
最初由 anan 發表
我公司電腦今天被224.0.1.24入侵,目前情況不明,因為我不是網管
您誤會了! 224.x.x.x 不是一般的上網 IP, 那用來做 multicast 的. 您雖然查到來源, 但是卻沒有注意到: 那個來源就是 IANA 啊! 全球的 IP 都是那邊發出來的, 所以他們並不是「使用單位」, 而是「核發單位」.
您開個 DOS 視窗, 輸入:
route print
應該就會看到, 系統內預設就有 224.x.x.x 的路由了, 而且是經由您自己電腦去轉送的喔 (看 Gateway 的 IP 便知).....:) 所以這個 IP 是有特殊意義的, 不會有某台 PC 的 IP 定成這樣.
這樣看來, 如 wangcm 兄所預料的, 有可能是攻擊者假造封包, 將來源地址的內容改掉了, 讓您誤以為是從這來的. 由於標頭被假造, 所以您的電腦無法對此來源回應, 通常這種「射後不理」的動作大部分是做「阻斷攻擊」(Denial of Service), 目的是擾亂您的電腦, 導致某些網路功能失效.
依此判斷, 您的資料應該不至於損壞, 或被盜走, 頂多是網路不能用而已....:D 不過, 因這個來源無法判定是來自 LAN 的內部或外部, 可以試著請 MIS 在 Router 上設定「過濾 IP Spoofing 封包」的功能, 看看問題是否消失? 以確定是否網內有自家人的電腦被當成跳板?....