能否查出路由器上的某IP是否被作為lan的出口IP（路由器上有多個IP）

ppt2000

lan中有100臺機器，全部是內網(wǎng)IP，A是其中一臺�，F(xiàn)將A的80端口映射出去。如果lan中的其他機器上的bt對外公布自己的下載端口是80，那么是否會導致網(wǎng)絡上其他的bt連接到A的80端口上？如果是這樣，僅僅在A上操作，能否找出是哪一臺機器的bt導致的連接？\r\n\r\n另外，如果僅僅在A上操作，能否查出路由器上的某IP是否被作為lan的出口IP（路由器上有多個IP）？\r\n\r\n\r\n＝＝＝補充＝＝＝\r\n\r\n返回的連接，并不一定是nat回來的。\r\n比如，lan中另一臺機器B，對公網(wǎng)上的機器W說，來連接我的80端口，然后W會獲取到B的公網(wǎng)IP，然后鏈接到該IP的80端口。而該IP的80端口是映射到A機器的，所以W就連接到了A的80端口。\n\n[ 本帖最后由 ppt2000 于 2009-2-13 09:38 編輯 ]

ssffzz1

不會出現(xiàn)此現(xiàn)象，因為NAT表里的源地址不同（即BT機器和A機器地址不一樣）。\r\n同樣NAT自身會保證對應的80端口不被占用。

ppt2000

返回的連接，并不是nat回來的。\r\n比如，另一臺機器B，對公網(wǎng)上的機器W說，來連接我的80端口，然后W會獲取到B的公網(wǎng)IP，然后鏈接到該IP的80端口。而該IP的80端口是映射到A機器的，所以W就連接到了A的80端口。

ssffzz1

你3樓和1樓說的不是一會事。\r\n\r\n你再詳細說說你要問什么？

ppt2000

就是A的80（httpd）收到大量BT連接，而A并不提供這個。所以這些流量很奇怪。\r\n\r\n所以推測lan中存在B的行為，這種推測是否存在？\r\n\r\n僅僅在A上操作，能否找出B是哪一臺機器？\r\n\r\n另外，如果僅僅在A上操作，能否查出路由器上的某IP（該IP的80被映射到A的80）是否被作為lan的出口IP（路由器上有多個公網(wǎng)IP）？\n\n[ 本帖最后由 ppt2000 于 2009-2-13 09:47 編輯 ]

ssffzz1

哦，終于明白了。\r\n\r\n你說的這種情況是會的，BT通過自己的私有協(xié)議公布連接自己的80端口。而這個80端口在外網(wǎng)是映射給A的，這樣新建的連接是會接到A，這個是沒錯的。\r\n\r\n不過我懷疑BT是否會做這種公布，因為BT發(fā)覺自己在內網(wǎng)的時候理論上將是不會做這種公布的，因為即使你在路由器上不映射給A,哪么外部的新建連接也進不來啊。\r\n\r\n建議： \r\n1、要查誰使用了BT,可以在路由器上檢查NAT SESSION數(shù)目，一般SESSION數(shù)目較大的比較可疑。\r\n2、如果可能的話關閉其他機器只保留A，查看是否有新建連接。\r\n3、我懷疑是外部的某類攻擊。

ppt2000

nat可以“打洞”的。\r\n就是內部發(fā)起一個連接，然后nat表中就會留下記錄，然后nat就會允許外面的連接進來。只是大概是這樣，具體的不清楚。\r\n\r\n問題是，現(xiàn)在我只能使用A這臺機器，不能操作其他機器和路由器。是不是這樣就查不到了，畢竟流量不經(jīng)過A。\r\n\r\napache錯誤日志中記錄了大量\\XBitTorrent的記錄，攻擊一般不會采用這種手段吧。要真是能夠，這方法也挺好。發(fā)布個種子，寫入別人的IP。\n\n[ 本帖最后由 ppt2000 于 2009-2-13 10:15 編輯 ]

ssffzz1

如果其他的動不了的話，僅僅A機器是無法得知的。