تحلیل log در تب security فایروال کرید
سلام تصویر زیر مدام در کریو لاگ مینذاره.
کسی میدونه مشکل چیه ؟
2 پاسخ
با سلام
بدون اطلاع از همبندی و چینش فایروال کریو در شبکه شما نمیشه خیلی دقیق موضوع رو بررسی کرد اما آنچه که از تصویر ارسالی شما دریافت می شه اینه که :
1- قابلیت Anti-Spoofing در کریو شما فعاله بنابراین با غیر فعال کردن این ویژگی می تونید صورت مسئله رو پاک کنید که البته به هیچ وجه توصیه نمی شه
2- کلاینت 192.168.60.1 که در شبکه LAN شما قرار داره و مشخص نیست که متعلق به چه کلاینت یا سروری هستش در حال ارسال پیاپی بسته ها با استفاده از پروتکل UDP به آدرس پخش وسیع مستقیم یا همان آدرس پخش فراگیر 192.168.60.255 و پورت 137 هستش . (لازم به یادآوری است که هر آدرس IP که بخش NET ID اون یک عدد معین باشه و بخش HOST ID اون 255 باشه یک آدرس پخش فراگیر مستقیمه که ازش برای ارسال اطلاعات به تمامی کلاینت های موجود در یک شبکه معین استفاده می شه ) بنابراین به احتمال زیاد بسته های UDP اشاره شده در لاگ فایروال شما داره به تمامی کلاینت های موجود در شبکه LAN شما ارسال می شه پس قدم بعدی اینه که سرویسها و پروسه های در حال اجرا در ماشین 192.168.60.1 رو به دقت بررسی کنید و از آلوده نبودن اون به بدافزار و یا وجود سرویس و پروسس مشکوک مطمئن بشید.
3- پورت UDP به شماره 137 در حالت معمول و طبیعی توسط پروتکل NETBIOS شرکت مایکروسافت و با هدف به اشتراک گزاری فایل و پرینتر در شبکه استفاده می شه اما تعدادی از بد افزارها و آفت های شبکه هم از این پورت شناخته شده استفاده می کنند که برای اطلاعات بیشتر می تونید به نشانی زیر و سایر منابع مراجعه کنید :
https://www.speedguide.net/port.php?port=137
4- با توجه به فقدان اطلاعات دقیق از شبکه شما و عدم آشنایی بنده با فایروال کریو مطمئن نیستم اما سناریوی دیگه ممکنه این باشه که یک مهاجم خارجی با جعل یک ip متعلق به شبکه محلی شما (192.168.60.1) در حال تلاش برای کشف فعال بودن و بازبودن پورت udp 137 در کلاینتها و سرورهای شبکه شماست( Ingress Attack) بنابراین فایروال شما ترافیک ورودی با آدرس های IP مبدا نا معتبر را داره فیلتر و گزارش می کنه. این آدرس های مبدا نا معتبر می تواند آدرس IP داخلی که از شبکه خارجی وارد می شوند باشه. (Ingress Filtering)
موفق باشید
رولی در قبال پرینتر در کریو تعریف کردین؟