锐捷一体化网关EG680-P对外通信分析-私自建立对外隧道连接
一、网络环境介绍
在互联网时代,我想没有一个人家庭没有接入互联网。
现在人手一个手机的时代,无线WIFI是必不可少的一个重要支撑组件。
在新房装修的时候,采用了锐捷的一体化网关+AP的方式进行的组网。网络拓扑图如下(草图)
锐捷一体化网关设备的型号为:EG680-P
该设备的当前软件版本为:已安装软件版本:EG_RGOS 11.9(2)B11P2
在家庭网络中,接入了各种智能家庭终端、家庭文件共享中心、多媒体娱乐等;
在网络部署中,将EG680-P设备的IP地址设置为192.168.77.2。
- 一、网络环境介绍
- 二、锐捷EG680-P对外通信:大量DNS请求
- 三、未启用云服务,锐捷EG网关私自与cloud.ruijie.com.cn通信注册。
- 四、EG680-P一体化网关私自建立外部隧道CLASSIS-STUN
- 五、锐捷EG680-P网关与外界通信的合计
- 六、《中华人民共和国网络安全法》
二、锐捷EG680-P对外通信:大量DNS请求
由于该锐捷一体化网关设备的性能问题(据客服人员说,该设备为非对称带宽设备,在做网关时只支持200M的网络处理性能),所以在平时的使用中,该设备只是一个交换机的作用。所有的流量通过交换上行到上端的路由器处理。也正是应为如此,才能够无意的查看到该设备的异常请求和流量。
最近在查看路由器上的域名解析请求是,发现无线控制器(也就是锐捷的一体化网关)在对外发起大量的域名解析请求。
通过抓包分析,发现来自该IP的大量DNS请求,该DNS请求的发出设备均为Ruijie的设备。192.168.77.2为锐捷一体化网关设备的IP地址。
甚至还有大量的含有upload前缀的域名请求。
我在想,你是不是有点寂寞,需要上网去发点图片消遣消遣?还是悄悄的在上传我的内网什么信息??
且,通过抓包分析,还抓到该一体化网关设备主动向互联网上某个地址发起注册的请求。并且注册成功的报文。
三、未启用云服务,锐捷EG网关私自与cloud.ruijie.com.cn通信注册。
Cloud.ruijie.com.cn 域名解析出来的IP地址为:118.190.126.198。通过抓包发现,该设备
EG680-P锐捷一体化网关设备上传的信息中,明显包含设备型号、序列号等。但是我并未开启该服务。
四、EG680-P一体化网关私自建立外部隧道CLASSIS-STUN
关于STUN的部分解释
STUN简介
RFC5389中,STUN的全称为Session Traversal Utilities for NAT,即NAT环境下的会话传输工具, 是一种处理NAT传输的协议,但主要作为一个工具来服务于其他协议。和STUN/RFC3489类似,可以被终端用来发现其公网IP和端口,同时可以检测端点间的连接性,也可以作为一种保活(keep-alive)协议来维持NAT的绑定。和RFC3489最大的不同点在于,STUN本身不再是一个完整的NAT传输解决方案,而是在NAT传输环境中作为一个辅助的解决方法,同时也增加了TCP的支持。RFC5389废弃了RFC3489,因此后者通常称为classic STUN,但依旧是后向兼容的。而完整的NAT传输解决方案则使用STUN的工具性质,ICE就是一个基于offer/answer方法的完整NAT传输方案,如SIP。STUN是一个C/S架构的协议,支持两种传输类型。一种是请求/响应(request/respond)类型,由客户端给服务器发送请求,并等待服务器返回响应;另一种是指示类型(indication transaction),由服务器或者客户端发送指示,另一方不产生响应。两种类型的传输都包含一个96位的随机数作为事务ID(transaction ID),对于请求/响应类型,事务ID允许客户端将响应和产生响应的请求连接起来;对于指示类型,事务ID通常作为debugging aid使用。
作者:技术人生666
链接:https://www.jianshu.com/p/227bb04179c8
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
那锐捷的EG680-P在通过这个STUN传输什么信息??
在如今人人互联向万物互联的时代演进过程中,如果内外的各个设备都想悄悄的收集内网的信息,并通过一些隐藏的隧道向外部传递。在当前是严重的违法行为。
五、锐捷EG680-P网关与外界通信的部分统计
六、《中华人民共和国网络安全法》
我想锐捷网络针对这个行为应该如何解释??这个是违法当前的网络安全法的哟。