V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
mengyaoss77
V2EX  ›  问与答

现在都使用 NAT 网关,为什么还是会被远程控制安装病毒?

  •  
  •   mengyaoss77 · 2017-05-13 16:00:00 +08:00 · 5165 次点击
    这是一个创建于 2752 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在私有地址网络下的主机端口,应该不会暴露给公网啊。 那些中了勒索软件的学校不会没使用 NAT 网关吧? 想不通这个问题,还请各位大神解释解释。

    37 条回复    2017-05-14 16:05:49 +08:00
    RHFS
        1
    RHFS  
       2017-05-13 16:01:47 +08:00 via iPhone
    所以这次中枪的是 教育网 普通用户 好像还没听到几个中招
    在校大学生中的偏多
    mengyaoss77
        2
    mengyaoss77  
    OP
       2017-05-13 16:11:16 +08:00
    更正一下,网络书上写的应该是专用地址(private address)。
    @RHFS #1 学校也用 nat 网关啊,内部都是局域网的。
    所以是不是可以这样解释:一台暴露给公网的主机中了招,然后通过局域网传播给内部所有主机?
    mengyaoss77
        3
    mengyaoss77  
    OP
       2017-05-13 16:13:35 +08:00
    如果我的分析是正确的,那么之前看到的学校甩锅给操作系统的行为就是极其可耻了,暴露给公网的主机没有及时的做好安全补丁,导致内部局域网的主机都中招。
    ProjectAmber
        4
    ProjectAmber  
       2017-05-13 16:17:33 +08:00 via iPhone
    1、学校分配的是公网 IP。
    2、防火墙没做好。
    mengyaoss77
        5
    mengyaoss77  
    OP
       2017-05-13 16:18:41 +08:00
    @ProjectAmber #4 现在的学校都那么有钱啊,这么多公网 IP 用,我本科和研究生学校都给的是私有地址的 orz
    leafleave
        6
    leafleave  
       2017-05-13 16:36:39 +08:00   ❤️ 1
    估计他们没有 AP 隔离?才导致局域网传播
    jasontse
        7
    jasontse  
       2017-05-13 16:47:24 +08:00 via iPad   ❤️ 1
    暴露在公网的服务器受感染后会进一步传播到局域网
    laobubu
        8
    laobubu  
       2017-05-13 16:48:28 +08:00
    我们学校大多数账号都是公网 IP,包括宿舍和部分校园 WiFi
    有趣的是暂时还没有听说谁中招( IP 地址是 21x.xx.xx.xx, 刚才随手用端口扫描软件看了一下还是有很多人开着 445 端口的
    aip
        9
    aip  
       2017-05-13 16:52:27 +08:00   ❤️ 1
    @mengyaoss77 应该就是这种传播路径。许多主机为了方便,同时连接教育网和学校内网,哪怕没做 NAT 网关服务,也能感染一大片。
    mengyaoss77
        10
    mengyaoss77  
    OP
       2017-05-13 16:54:36 +08:00
    @laobubu #8 那你们学校挺厉害的,可能你们学校做了防火墙? 23333
    zjqzxc
        11
    zjqzxc  
       2017-05-13 16:57:43 +08:00   ❤️ 1
    学校好像都有相对充足的公网 IP 数量,目前了解到大部分高校师生使用的 IP 都是公网 IP

    不过,现在有观点认为这货可能带有蠕虫属性,如果属实,即使使用了 NAT,一台感染的机器接入校园网后就会把整个校园网给传染
    anoymoux
        12
    anoymoux  
       2017-05-13 16:59:25 +08:00
    CVE-2017-0199+MS17-010
    批量发送邮件,一旦有小白打开附件的 word 文件,内外网就没区别了。。
    mengyaoss77
        13
    mengyaoss77  
    OP
       2017-05-13 17:03:30 +08:00
    @anoymoux #12 发邮件这种明着传播的就没办法了 ~
    anoymoux
        14
    anoymoux  
       2017-05-13 17:09:09 +08:00
    @anoymoux 前几天又出了个漏洞,不需要打开附件,收到邮件,甚至打开网页就 GG。。安全意识在高也是防不胜防
    zmj1316
        15
    zmj1316  
       2017-05-13 17:33:36 +08:00
    学校和医院内网发达,有一个进了内网就直接批量扫端口感染了
    rssf
        16
    rssf  
       2017-05-13 17:37:53 +08:00 via iPhone
    因为既懒又蠢
    dremy
        17
    dremy  
       2017-05-13 17:48:02 +08:00 via Android
    @jasontse 我们学校官网服务器今早据说中了此毒,停机了 3 个小时修复,中途还全校断网。服务器同时连接教育网和校内局域网,为啥没有在全校爆发?难道是监控很到位及时处理了么,感觉并没有这样的水平。
    mengyaoss77
        18
    mengyaoss77  
    OP
       2017-05-13 17:57:09 +08:00 via Android
    @dremy 有可能只是停机打补丁,并没有中招 233
    dremy
        19
    dremy  
       2017-05-13 18:03:42 +08:00 via Android
    @mengyaoss77 233,估计是谣传,学校能有这样的觉悟,赞👍
    essethon
        20
    essethon  
       2017-05-13 18:22:04 +08:00
    @mengyaoss77 当年我们学校本科生宿舍每人床位的网口静态公网 IP,根据公网 IP 都能知道哪间宿舍几号床…… 现在改动态分配了,然而还是全公网 IP = =

    不过我们学校在网络安全这块,应该算是国内高校里面反应比较快的,上个月可能 Shadow Broker 的事件比较火的那阵子就把几个高危端口在校园网出口上封了
    essethon
        21
    essethon  
       2017-05-13 18:24:14 +08:00
    @mengyaoss77 然而的确是,校园网边界上封端口只能说一定程度上降低风险,有人在外网感染了后来又在校园网内上网的可能性怎么着都有,还有你说的发邮件那种,中了照样 GG。学校网络安全方面做出的努力,不代表个人不需要安全意识
    paradoxs
        22
    paradoxs  
       2017-05-13 18:31:52 +08:00
    部分用户的观点真的是清奇, 美国人的系统留着无数漏洞, 防不胜防, 还怪用户了.
    别说什么有本事自己开发一个系统.......
    我用 mac os
    mengyaoss77
        23
    mengyaoss77  
    OP
       2017-05-13 18:38:23 +08:00 via Android
    @essethon 没错,我们学校以前已经在出口网关封了相关端口了。个人安全意识这个确实是个大问题,不明文件什么的,小白用户根本没办法
    Suddoo
        24
    Suddoo  
       2017-05-13 18:40:59 +08:00
    我校都是公网 ip
    snsd
        25
    snsd  
       2017-05-13 19:01:56 +08:00 via iPhone
    @laobubu 求扫描软件,多谢
    Cavolo
        26
    Cavolo  
       2017-05-13 19:02:43 +08:00 via iPhone
    我们学校分配给宿舍每台电脑的都是公网 IP
    taineric
        27
    taineric  
       2017-05-13 19:02:58 +08:00 via Android
    @anoymoux 我最近也收到了一个邮件,附件有奇怪的 word 文档,非常非常好奇里面的内容
    taineric
        28
    taineric  
       2017-05-13 19:04:12 +08:00 via Android
    @paradoxs mac os 只是用户少所以病毒才少罢了。又不是没有漏洞
    laobubu
        29
    laobubu  
       2017-05-13 20:15:32 +08:00   ❤️ 1
    @mengyaoss77 #10 我们学校的网一向都比较神奇……
    @snsd #25 就网络上随便找一个都能用啊,我用的是 http://www.the-sz.com/products/index.php 这里的
    aihimmel
        30
    aihimmel  
       2017-05-13 21:06:22 +08:00 via Android   ❤️ 2
    @paradoxs
    0.你能不写出 bug?
    1.你以为 mac os 漏洞就少了? http://www.cvedetails.com/top-50-products.php?year=2017
    2.这又怎么撤得上美国人?
    3.第一次看见要求系统不能有漏洞的
    iAndychan
        31
    iAndychan  
       2017-05-13 22:11:01 +08:00
    我们学校宿舍的网络是移动的宽带,不是教育网,没受到影响,也不像有些学校强制闪讯,寝室一台路由器很常见诶。
    mengyaoss77
        32
    mengyaoss77  
    OP
       2017-05-13 22:49:13 +08:00 via Android
    @iAndychan 我学校校园网是 web 认证的,也可以 PPPoE,可以直接用路由器,特别良心
    iAcn
        33
    iAcn  
       2017-05-13 23:19:32 +08:00 via Android
    今天刚从学校核心防火墙上把 445 端口封了,希望不会 GG 😂
    Domains
        34
    Domains  
       2017-05-14 15:24:48 +08:00   ❤️ 1
    @paradoxs 笑死,mac os 什么时候不是美国人的系统?变中国的?还是欧洲的非洲的? windows 出个漏洞怪美国人的系统,自豪用 mac os ?再说了,mac os 什么时候没漏洞没 bug 了,你是有多逗逼才说出这些话?
    上次锤子的坚果 pro 的帖子还嫌不够丢脸?你不会看看同样是果粉的是怎么评价你这个人?! 你真是个奇葩! https://www.v2ex.com/t/360282
    Domains
        35
    Domains  
       2017-05-14 15:58:05 +08:00
    @paradoxs 来来来,就怕你不装

    在上一个帖子:坚果 Pro 发布 大家的看法 /t/360282 看看某人的奇葩

    #21 败点在于, 基于 Android ------ 在这里你一定想说这是 "基于 Windows" 了?

    #48 不得不说 iphone 对于很多人来说价格还是高 .. 就好像很多人喜欢兰博基尼 迫于现实 最后只能开大众一样 ------- 嗯,这是不是要把 iphone 替换成 mac ?
    ……
    看了#48 吓尿了,赶紧问问人家是戴什么表、开什么车、住那个楼盘的,特么告诉我只是个普通码农。对了,还要告诉你一个事,共享经济现在很热,N 多在搞日付几块钱租 iphone 的,芝麻分大于 650 就可以直接免押金,直接租了。

    不说了,自己翻页看看其他果粉是怎么看你的?!
    paradoxs
        36
    paradoxs  
       2017-05-14 16:05:19 +08:00 via iPhone
    @Domains 已屏蔽
    paradoxs
        37
    paradoxs  
       2017-05-14 16:05:49 +08:00 via iPhone
    @Domains 谢谢你打那么多字,可惜我看不见了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2815 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 08:36 · PVG 16:36 · LAX 00:36 · JFK 03:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.