최근 내 로컬 전용 웹 서버에서 이상한 항목을 보았습니다. 문제는 공격이 네트워크 외부에서 발생했는지 감염된 컴퓨터에서 발생했는지 알 수 없다는 것입니다. hnap 공격에 대해 조금 읽었지만 여전히 확실하지 않습니다. 그것에 대해 무엇을 해야할지. 기본적으로 시스코 라우터는 “홈 네트워크 관리 프로토콜”로 인해 취약점이 있습니다. 제가 읽은 내용으로는 해결책이 없습니다.
감염된 시스템 인 경우 네트워크 트래픽을 수신하여 정확히 찾아 내고 싶지만 어떻게해야할지 모르겠습니다. snort 및 wireshark를 사용해 보았지만 이러한 프로그램은 상당히 발전된 것 같습니다. 또는 누군가가 다음 방법으로 내 네트워크를 손상시킬 수 있었다면 네트워크 키를 크래킹하면 네트워크에 가입하여 원하는 스캔을 실행할 수 있습니다. 그렇지 않으면 누군가 로컬 네트워크 외부에서 액세스하고있을 수 있습니다.
다음 항목이 있습니다 (내 PC의 여러 요청을 표시하도록 업데이트 됨). :
[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC). 문제를 추적하기 위해 무엇을 할 수 있습니까? 이러한 요청을 더 많이 듣고 소스를 정확히 찾을 수있는 쉬운 방법이 있습니까? 더 나은 방법이 있습니까? 웜을 탐지 할 수있는 악성 코드 / 스파이웨어 스캐너?
(저는 최신 바이러스 백신을 사용하는데 아무것도 탐지하지 못하기 때문에 그게 있습니다.)
답변
찾은 광고는 evice가 웹 서버에 연결되고 요청 된 / HNAP1 /
HNAP 는 장치 관리를위한 프로토콜이므로 잠재적 공격에 대한이 정보 만 포함됩니다. , 내 생각 엔이 프로토콜을 지원하는 네트워크의 장치 (예 : 라우터에서 공용 IP 주소를 가져 오려고 할 수 있습니다.
로그 줄에는 이러한 요청을 수행 한 클라이언트의 IP 주소가 포함되어야합니다 .¹ 예 :
192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 이 경우 요청은 192.168.123.123에 의해 수행되었을 것입니다.
¹
일반 로그 형식 , 사용자 지정 형식을 사용하는 경우 원격 주소를 어딘가에 추가해야합니다.)
업데이트와 관련하여« 잘못된 HTTP_HOST 헤더»메시지는 여기에서 대부분 관련이 없습니다. 클라이언트가 통화를 원한다고 지정하여 연결했지만 (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1) 서버가 가상 호스트로 구성되지 않았습니다. 중요한 부분은 왼쪽 IP입니다 (외부 인터페이스와 VirtualBox 인터페이스를 모두 열거 했더라도 PC에서 가져온 것임을 의미 할 수 있음).
댓글
- 소스 주소는 내 PC IP, 가상 게이트웨이 IP (가상 상자 네트워킹) 및 라우터 게이트웨이 IP (예 : 192.168.1.1)입니다. 이것은 내 PC가 손상되었음을 의미합니까?
- @TechMedicNYC 그래서 서로 다른 IP 주소에서 / HNAP1 / cinung에 세 번의 요청이 있었습니까?
- I ' 명확성을 위해 질문 본문을 업데이트했습니다. 예제 소스 IP와 위치를 보여줍니다.
- @TechMedicNYC 답변을 업데이트했습니다. 중요한 부분은 호스트 헤더의 IP 주소가 아니라 왼쪽의 IP 주소입니다.