Networking

如何判斷是否有人試圖使用我的 IP 地址?

  • May 31, 2015

我為我的個人伺服器使用成本相對較低的主機,偶爾我會收到一連串的停機警報。這些都是從今天開始的。

停機警報

如果我的主機(“意外”)將我的 IP 分配給其他人,並且該伺服器上線並開始與我的 IP 控制權爭奪,它會看起來像這樣嗎?如果不是,我想我必須假設主機有硬體或網路問題,或者可能正在處理某種 DoS 攻擊,對吧?當然,他們的客戶門戶網站和公司網站也正在遭受停機;幾乎不可能聯繫到他們並詢問發生了什麼。

在過去,我偶爾會看到這種類型的活動與嘗試訪問我的網站並從不同的伺服器查看預設網站相關(這是有道理的,因為它們沒有我的域的主機設置)。

如果沒有手動檢查我的所有域以查看是否有意外返回,我能做些什麼來檢測其他人試圖使用我的 IP 地址嗎?

如果您想知道在發送對您的 IP 的請求時,同一網段上的另一台主機是否正在發送 ARP 回复,最簡單的方法是自己發送一些請求並驗證您是否收到響應。這是一個範例命令(並在此處使用您自己的 IP 地址):

arping -I eth0 198.51.100.241

如果您懷疑它只是間歇性地發生,那麼在螢幕會話中執行 tcpdump 命令可以收集這種情況發生的證據:

tcpdump -pni eth0 'arp' -s0 -Uw /var/tmp/arp.pcap

如果這兩種方法都沒有給你足夠的資訊,你可以開始尋找其他線索。

IP 地址衝突只會影響向一個方向發送的數據包。因此,如果您在伺服器和其他地方設置軟體以定期相互發送數據包並跟踪每個數據包的發送和接收時間,那麼您將能夠查看數據包是否在一個方向失去而不是另一個。

此外,IP 地址衝突更有可能只影響一個地址族。因此,當您的 IPv4 地址無法訪問時,您可以使用 IPv6 登錄並在問題持續存在時進行調查。

最後,在中斷期間和正常執行期間,來自每一端的同時跟踪路由將提供有關中斷確切位置的大量資訊。

引用自:https://serverfault.com/questions/695653