能否查出路由器上的某IP是否被作为lan的出口IP（路由器上有多个IP）

ppt2000

lan中有100台机器，全部是内网IP，A是其中一台。现将A的80端口映射出去。如果lan中的其他机器上的bt对外公布自己的下载端口是80，那么是否会导致网络上其他的bt连接到A的80端口上？如果是这样，仅仅在A上操作，能否找出是哪一台机器的bt导致的连接？

另外，如果仅仅在A上操作，能否查出路由器上的某IP是否被作为lan的出口IP（路由器上有多个IP）？


＝＝＝补充＝＝＝

返回的连接，并不一定是nat回来的。
比如，lan中另一台机器B，对公网上的机器W说，来连接我的80端口，然后W会获取到B的公网IP，然后链接到该IP的80端口。而该IP的80端口是映射到A机器的，所以W就连接到了A的80端口。

[ 本帖最后由 ppt2000 于 2009-2-13 09:38 编辑 ]

ssffzz1

不会出现此现象，因为NAT表里的源地址不同（即BT机器和A机器地址不一样）。
同样NAT自身会保证对应的80端口不被占用。

ppt2000

返回的连接，并不是nat回来的。
比如，另一台机器B，对公网上的机器W说，来连接我的80端口，然后W会获取到B的公网IP，然后链接到该IP的80端口。而该IP的80端口是映射到A机器的，所以W就连接到了A的80端口。

ssffzz1

你3楼和1楼说的不是一会事。

你再详细说说你要问什么？

ppt2000

就是A的80（httpd）收到大量BT连接，而A并不提供这个。所以这些流量很奇怪。

所以推测lan中存在B的行为，这种推测是否存在？

仅仅在A上操作，能否找出B是哪一台机器？

另外，如果仅仅在A上操作，能否查出路由器上的某IP（该IP的80被映射到A的80）是否被作为lan的出口IP（路由器上有多个公网IP）？

[ 本帖最后由 ppt2000 于 2009-2-13 09:47 编辑 ]

ssffzz1

哦，终于明白了。

你说的这种情况是会的，BT通过自己的私有协议公布连接自己的80端口。而这个80端口在外网是映射给A的，这样新建的连接是会接到A，这个是没错的。

不过我怀疑BT是否会做这种公布，因为BT发觉自己在内网的时候理论上将是不会做这种公布的，因为即使你在路由器上不映射给A,哪么外部的新建连接也进不来啊。

建议：
1、要查谁使用了BT,可以在路由器上检查NAT SESSION数目，一般SESSION数目较大的比较可疑。
2、如果可能的话关闭其他机器只保留A，查看是否有新建连接。
3、我怀疑是外部的某类攻击。

ppt2000

nat可以“打洞”的。
就是内部发起一个连接，然后nat表中就会留下记录，然后nat就会允许外面的连接进来。只是大概是这样，具体的不清楚。

问题是，现在我只能使用A这台机器，不能操作其他机器和路由器。是不是这样就查不到了，毕竟流量不经过A。

apache错误日志中记录了大量\XBitTorrent的记录，攻击一般不会采用这种手段吧。要真是能够，这方法也挺好。发布个种子，写入别人的IP。

[ 本帖最后由 ppt2000 于 2009-2-13 10:15 编辑 ]

ssffzz1

如果其他的动不了的话，仅仅A机器是无法得知的。