【求助】被220.0.1.24入侵 , 這不是合法 IP 嗎?

**anan** · 2004-07-06, 12:22 PM

請問各位網友:

我公司電腦今天被224.0.1.24入侵,目前情況不明,因為我不是網管

現在想請教的是負責的人問公司網管,結果網管告訴他224.0.1.24

不是合法IP

但我上 http://www.demon.net/cgi-bin/demon/e...netToolIP.cgi?

去查告訴我該IP是從美國來,因我不是MIS所以我對MIS說不具公信力,也

不被他採信,所以才想向各位請教 224.0.1.24 還有 224.0.0.10

都不是合法 IP 嗎?

這二個IP是今早公司同仁查到的IP,向MIS反應被凸槽回來....

敬請賜教

**misol** · 2004-07-06, 01:02 PM

送一客便便給你們MIS吧
http://www.apnic.net/apnic-bin/whois...h%3D220.0.1.24

220.0.1.24 YahooBB220000001024.bbtec.net Tokyo, Japan Japan nation-wide Network of SOFTBANK BB CORP

**阿土** · 2004-07-06, 01:38 PM

220.0.1.24 反查 = YahooBB220000001024.bbtec.net
日本 Yahoo! BB 的寬頻用戶

**anan** · 2004-07-06, 01:45 PM

sorry 我打錯標題了,是224.0.0.1 及224.0.1.24

也感謝二位網友熱心賜教謝謝

**wangcm** · 2004-07-06, 02:24 PM

最初由 anan 發表
sorry 我打錯標題了,是224.0.0.1 及224.0.1.24

也感謝二位網友熱心賜教謝謝

224.0.0.0/240.0.0.0是class D的IP,給IP multicast用的,是那種service被入侵?? log file中有啥(也有可能是ip->FQDN spoofing,仔細看一下log中有沒有真正的ip而非FQDN)?? BTW,source IP是class D者比較像是被DoS(配合source spoofing),若真是如此也查不出什麼,頂多能在gateway上把這類traffic(ex source IP是private IP,localhost,CLASS D/E者)直接drop掉而已....

**anan** · 2004-07-06, 02:36 PM

雖然不是很懂,但很感謝網友熱心解答

我已把解答複製並轉寄給同事了,希望對他有幫助

再次感謝各位賜教

**raytracy** · 2004-07-06, 03:14 PM

最初由 anan 發表
我公司電腦今天被224.0.1.24入侵,目前情況不明,因為我不是網管

您誤會了! 224.x.x.x 不是一般的上網 IP, 那用來做 multicast 的. 您雖然查到來源, 但是卻沒有注意到: 那個來源就是 IANA 啊! 全球的 IP 都是那邊發出來的, 所以他們並不是「使用單位」, 而是「核發單位」.

您開個 DOS 視窗, 輸入:

route print

應該就會看到, 系統內預設就有 224.x.x.x 的路由了, 而且是經由您自己電腦去轉送的喔 (看 Gateway 的 IP 便知).....

所以這個 IP 是有特殊意義的, 不會有某台 PC 的 IP 定成這樣.

這樣看來, 如 wangcm 兄所預料的, 有可能是攻擊者假造封包, 將來源地址的內容改掉了, 讓您誤以為是從這來的. 由於標頭被假造, 所以您的電腦無法對此來源回應, 通常這種「射後不理」的動作大部分是做「阻斷攻擊」(Denial of Service), 目的是擾亂您的電腦, 導致某些網路功能失效.

依此判斷, 您的資料應該不至於損壞, 或被盜走, 頂多是網路不能用而已....

不過, 因這個來源無法判定是來自 LAN 的內部或外部, 可以試著請 MIS 在 Router 上設定「過濾 IP Spoofing 封包」的功能, 看看問題是否消失? 以確定是否網內有自家人的電腦被當成跳板?....