一、网络环境介绍

在互联网时代,我想没有一个人家庭没有接入互联网。
现在人手一个手机的时代,无线WIFI是必不可少的一个重要支撑组件。
在新房装修的时候,采用了锐捷的一体化网关+AP的方式进行的组网。网络拓扑图如下(草图)

3e4977ef98d295a2d2b7860073776d37.png

锐捷一体化网关设备的型号为:EG680-P
该设备的当前软件版本为:已安装软件版本:EG_RGOS 11.9(2)B11P2

在家庭网络中,接入了各种智能家庭终端、家庭文件共享中心、多媒体娱乐等;

在网络部署中,将EG680-P设备的IP地址设置为192.168.77.2。

  • 一、网络环境介绍
  • 二、锐捷EG680-P对外通信:大量DNS请求
  • 三、未启用云服务,锐捷EG网关私自与cloud.ruijie.com.cn通信注册。
  • 四、EG680-P一体化网关私自建立外部隧道CLASSIS-STUN
  • 五、锐捷EG680-P网关与外界通信的合计
  • 六、《中华人民共和国网络安全法》

二、锐捷EG680-P对外通信:大量DNS请求

由于该锐捷一体化网关设备的性能问题(据客服人员说,该设备为非对称带宽设备,在做网关时只支持200M的网络处理性能),所以在平时的使用中,该设备只是一个交换机的作用。所有的流量通过交换上行到上端的路由器处理。也正是应为如此,才能够无意的查看到该设备的异常请求和流量。

最近在查看路由器上的域名解析请求是,发现无线控制器(也就是锐捷的一体化网关)在对外发起大量的域名解析请求。

ce841352fc3745a8b872eb6c9f01bf71.png

通过抓包分析,发现来自该IP的大量DNS请求,该DNS请求的发出设备均为Ruijie的设备。192.168.77.2为锐捷一体化网关设备的IP地址。

b0422e8a50484ea6a90202c3f9ea207e.png

3038e6c6ee3349e0851fcb81e7bc4c90.png

甚至还有大量的含有upload前缀的域名请求。

6c847dd4f4964c5188c970b817ea066f.png

我在想,你是不是有点寂寞,需要上网去发点图片消遣消遣?还是悄悄的在上传我的内网什么信息??

且,通过抓包分析,还抓到该一体化网关设备主动向互联网上某个地址发起注册的请求。并且注册成功的报文。

77a4a3a1dd234653a990bf7438ac14cc.png

29f644aa28b848589c90266c0c96ba6f.png

三、未启用云服务,锐捷EG网关私自与cloud.ruijie.com.cn通信注册。

Cloud.ruijie.com.cn 域名解析出来的IP地址为:118.190.126.198。通过抓包发现,该设备

a2d7a03c9a3a4c2aa1a8119670343312.png

3051e0e66cfb4e999bee9ae67da38b6e.png

EG680-P锐捷一体化网关设备上传的信息中,明显包含设备型号、序列号等。但是我并未开启该服务。

四、EG680-P一体化网关私自建立外部隧道CLASSIS-STUN

bcd483df4da44d3cad34a050edfcaef4.png

8a159345802142cda7a93a21d8665632.png

关于STUN的部分解释
STUN简介
RFC5389中,STUN的全称为Session Traversal Utilities for NAT,即NAT环境下的会话传输工具, 是一种处理NAT传输的协议,但主要作为一个工具来服务于其他协议。和STUN/RFC3489类似,可以被终端用来发现其公网IP和端口,同时可以检测端点间的连接性,也可以作为一种保活(keep-alive)协议来维持NAT的绑定。和RFC3489最大的不同点在于,STUN本身不再是一个完整的NAT传输解决方案,而是在NAT传输环境中作为一个辅助的解决方法,同时也增加了TCP的支持。RFC5389废弃了RFC3489,因此后者通常称为classic STUN,但依旧是后向兼容的。而完整的NAT传输解决方案则使用STUN的工具性质,ICE就是一个基于offer/answer方法的完整NAT传输方案,如SIP。

STUN是一个C/S架构的协议,支持两种传输类型。一种是请求/响应(request/respond)类型,由客户端给服务器发送请求,并等待服务器返回响应;另一种是指示类型(indication transaction),由服务器或者客户端发送指示,另一方不产生响应。两种类型的传输都包含一个96位的随机数作为事务ID(transaction ID),对于请求/响应类型,事务ID允许客户端将响应和产生响应的请求连接起来;对于指示类型,事务ID通常作为debugging aid使用。

作者:技术人生666
链接:https://www.jianshu.com/p/227bb04179c8
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

那锐捷的EG680-P在通过这个STUN传输什么信息??

在如今人人互联向万物互联的时代演进过程中,如果内外的各个设备都想悄悄的收集内网的信息,并通过一些隐藏的隧道向外部传递。在当前是严重的违法行为。

五、锐捷EG680-P网关与外界通信的部分统计

09889d5ddb864d67bacf79601270d1e0.png

六、《中华人民共和国网络安全法》

我想锐捷网络针对这个行为应该如何解释??这个是违法当前的网络安全法的哟。

标签: 锐捷, EG680-P

添加新评论