网络通信 频道

【安全案例】排查全是“0”的IP地址

  【IT168专稿】IP地址0.0.0.0是没有意义的。那么,这个IP地址的通讯是如何传送到网络上的呢?

  IT安全专家J.F. Rice说,他这个月在公司的网络上追踪一个神秘的东西。在他有空闲的时候(这种时候不多),他就要查看公司的各种安全设备的记录。公司还有其他人专门负责深入研究这些事情。但是,Rice认为连接到公司网络上正在运行的东西上是很重要的。他或许会发现了一些工具软件漏掉的东西或者其他人忽略的东西。Rice验证了自己的想法。

  当Rice阅读公司的防火墙记录时,他发现了一个奇怪的事情。公司防火墙看到了许多来自目标IP地址0.0.0.0的通讯。这是一个不可能的IP地址。Rice很久以前曾设置公司的防火墙阻止与明显虚假的IP地址进行通讯。公司防火墙负责任地阻止了这种通讯并且做了记录。但是,当Rice看到记录的数据时,这个记录激起了他的兴趣,平时感到非常乏味的工作突然变得有趣起来。什么东西在设法把带有不存在的IP地址的通讯发送到公司的网络?这就像在你的邮箱中发现一个没有地址的邮件一样。

  Rice开始调查这个事情。他说,在可信性方面存在太多的可能性。如果某人从某个地方在互联网向一个全是“0”的目标地址发送通讯,这个通讯不能发送到任何地方。然而,这个通讯却进入了我们的网络的大门。这个IP地址能在进入我们之前在某个地方改变地址吗?

  Rice说,我并不认为这种事情很可能出现,但是,有这种可能性。如果这个通讯不是来自互联网,唯一的另一种解释是这个通讯是被劫持到我们的防火墙和互联网之间的。这就意味着这个通讯是来自公司内部。

  0的意义

  当这个地址没有任何意义的时候,要跟踪这个通讯的来源显然是很困难的。Rice找该公司的一位非常出色的网络工程师帮忙。那位工程师也和Rice一样对这个地位非常感兴趣。他们一起努力设法搞清楚到底发生了什么事情。他们检查了互联网路由器,这是公司防火墙外面网络通讯的下一个跳点。他们在路由器设置中没有发现异常或者通讯记录。但是,他们确实发现了可疑现象。那个奇怪的全是0的IP地址没有任何通讯的踪迹。

  经过认真检查之后,那个网络工程师发现一个重要的线索:这个路由器没有内存了。显然,这台路由器一直在努力工作,结果没有足够的空闲内存。

  最后,这个内存短缺的问题就是造成这个问题的原因。这个品牌的路由器在没有足够内存的时候丢弃了一些网络信息,这就解释了造成全是0的地址的原因:没有足够的内存把合法的网络数据包组合在一起,从而导致了一些全是0的地址。有些地址就变成了神秘的空地址。

  重新启动路由器似乎能够解决这个问题。目前,这家公司的网络团队正在密切观察该公司的路由器和网络设备使用的资源。

  Rice说,我非常高兴我们的IT安全工具和安全人员能够帮助我发现和跟踪我们网络中的性能问题。尽管这个问题严格地讲与安全无关,但是,这是我们的设备发现的第一个问题。在这种情况下,安全工具能够帮助解决问题,而不是妨碍解决问题。我认为这是一个胜利。

0
相关文章