/hnap1/ 扫描受感染的路由器或蠕虫?

信息安全 恶意软件 路由器 网络扫描仪
2021-09-06 21:58:09

最近,我在我的本地网络服务器上看到了一些奇怪的条目。问题是我不知道攻击是来自网络外部还是来自受感染的机器。我已经阅读了一些关于hnap攻击的内容,但我仍然不确定该怎么做。本质上,Cisco 路由器由于“家庭网络管理协议”而存在漏洞。从我读过的内容来看,没有解决方案。

如果它是受感染的系统,我想通过侦听网络流量来查明它,但我不知道该怎么做。我尝试使用snortand wireshark,但这些程序看起来相当先进。或者,我认为如果有人能够通过破解网络密钥来破坏我的网络,他们可以加入网络并运行他们想要的任何扫描。否则,可能有人从本地网络外部访问。

以下是条目(已更新以显示来自我的 PC 的多个请求):

[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
Invalid HTTP_HOST header: '192.168.yyy.yyy'.

[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '192.168.1.1' (Router IP).

[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '192.168.1.2' (PC IP).

[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '10.1.0.1' (Virtualbox IP on PC).

我可以做些什么来追踪问题?有没有一种简单的方法来监听更多这些请求并查明来源?是否有更好的恶意软件/间谍软件扫描程序可以检测到蠕虫?

(我使用了最新的防病毒软件,它没有检测到任何东西,所以就是这样。)

1个回答

您发现有一个设备连接到您的 Web 服务器并请求 /HNAP1/

HNAP是一种用于管理设备的协议,因此仅使用有关潜在攻击的这些信息,我猜测这是由您网络上支持此协议的设备完成的(例如,它可能试图从您的路由器获取公共 IP地址)。

您的日志行应包含执行此类请求的客户端的 IP 地址,¹ 例如:

192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505

在这种情况下,请求将由 执行192.168.123.123

¹我假设您使用的是Common Log Format,如果您使用的是自定义格式,则应在某处添加远程地址)

关于您的更新,«Invalid HTTP_HOST header»消息在这里几乎无关紧要。连接的客户端指定它想与之交谈(192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1),但您的服务器没有为这些配置虚拟主机。重要的部分是左侧 IP(尽管如果它同时枚举了外部和 VirtualBox 接口,则可能意味着它来自您的 PC)。

其它你可能感兴趣的问题
上一篇什么是“三分之二”的简单方法 - 在没有计算机的情况下保护 24 个单词的短语? 下一篇谷歌浏览器如何管理受信任的根证书