网络电影引发的后门危机及解决办法 （1）

一. 神秘的网络断流事件

上了大学真“自由”，一切琐事都要自己打理，就连宿舍里的网络都要自己做……作为宿舍里惟一的技术员，这任务自然就落在我头上了。最终，我们宿舍靠着ZyXEL SC642 ADSL Modem和TP-Link交换机的配合上了网，Modem方面我设置了路由和防火墙，宿舍内设置成一个对等网，一个学期下来平安无事。

然而到了学期末，网络却有了异常：经常突然间就访问不了网络了，有时候等一会儿就好，但更多的时候只能重启Modem了。在网络中断的时候，Modem的控制界面很难访问，而且界面显示的网络状态是“正常”的！很显然是ADSL断流了，但一个学期下来都没问题，怎么最近才开始断流？

由于断流时很难连接配置界面，我就试着ping了一下Modem，发现响应很慢，丢包率甚至达到90%！重启Modem后ping值恢复正常，可是才过不久就又开始断流和丢包，难道Modem坏了？我写了个小程序监控Modem的反应，发现在每次断流开始的时候，Modem就出现超时了，一旦ping值正常，网络就恢复正常，难道Modem坏了？测试把Modem的路由关闭，等了很久也没有超时，但是一旦连接网络就经常断流！结合多方资料和现象，我确认这是Viking芯片遭受攻击后的反应，难道有人蓄意攻击我们宿舍？查看Modem配置界面的防火墙日志，发现这里无论外部内部的扫描记录都有，很难分辨出有用的数据，只好交待宿舍的所有人上QQ时必须隐身，避免让攻击者抓到IP。随后的几天里网络仍然断断续续的不稳定，我只能努力从每天的Modem防火墙日志里找些蛛丝马迹，防御工作陷入被动状态。

二. 发现攻击源

几天下来，配合防火墙日志，我终于发现一些规律：内网的192.168.1.13这台机器每天都有被防火墙记录的操作，但该机器的主人每天做得最多的事情仅仅是听歌和看些从网络上下载的电影而已，怎么会被Modem视为威胁？要知道宿舍里另一个玩网游的舍友才是最大的网络资源占用者呢。或者是他系统的网络模块出了问题？我试着把他的网线拔了，结果后来还是断流了，难道问题不是这里，检查工作又一次陷入迷雾之中。

再过了几天，我又发现另一个重要的规律：每天早上6点到8点之间都没有异常情况，而一旦时间走向10点以后，随即发生的网络断流就开始了。因此可以推断出，这种断流一定是人为的，因为攻击者可能不会起床太早。但是我也仅仅能知道这些信息了，因为攻击者始终在暗处，而且像有魔法似的死死咬住我们宿舍的IP，无论多少次重启Modem换过IP，不过10分钟Modem就会再次超时不稳定，然后断流就随机出现了！

1 2 3 4 5 6 7 下一页>>