路由器日志总提示“检测到带选项的IP报文攻击”

Posted 2023-04-22

酒店使用的是TL-ER6110企业路由器，路由器上连接交换机，交换机上又分出几路连接其他交换机和当交换机使用的路由器。

最近总是断网，每次断网的时候路由器的日志就提示“ 检测到带选项的IP报文攻击, 丢弃报文25个”，攻击源的IP为一台主机和若干个作为交换机使用的路由器的LAN口IP。攻击源的主机有时候是办公内网的，有些是属于通过公区WIFI连接的，办公内网及公区终端是通过交换机的VLAN功能分为两个局域网。

比如办公室电脑通过作为交换的路由器连接网络，每次断网需要重启这台路由器才能重新连接。这种情况每天平均出现5次。

教你个土办法，虽然费时间，但是必定管用
用点时间，在断网后电脑重启的情况下,把内网每台电脑指定固定IP，把IP和mac记下来，一些2级路由器的IP和mac也记下来，这样可以确定在哪个范围
这个应该会把？
然后就查找攻击源了，在受到攻击的或者掉线的时候，用路由器收集电脑的IP和mac ，然后和你记下来的一一比对，不相符的那个就是伪造的IP攻击源，然后把那个电脑系统从头到尾清除掉。
如果是连wifi的由器是攻击源，那就用那个路由作为收集IP和mac，用上面的方法。追问

我已经把所有内网电脑和路由器的IP和MAC都绑定了，所以知道有些时候是哪个人用的电脑，但是用查杀病毒和木马的软件都没查出有什么异常。还有酒店客房会有客人自己带的电脑，我们控制不了。如何做能在不再另拉一条线的情况下避免这种情况呢？

参考技术A 教土办虽费间必定管用
用点间断网电脑重启情况,内网每台电脑指定固定IPIPmac记些2级路由器IPmac记确定哪范围
应该
查找攻击源受攻击或者掉线候用路由器收集电脑IPmac
记比相符伪造IP攻击源电脑系统尾清除掉
连wifi由器攻击源用路由作收集IPmac用面 参考技术B 有人在使用arp工具 参考技术C 网内可能有病毒啊

GCP 日志路由器接收器未将日志路由到主题？

【中文标题】GCP 日志路由器接收器未将日志路由到主题？

【英文标题】：GCP Log Router Sink Not Routing Logs to Topic?

【发布时间】：2021-10-17 01:22:43

【问题描述】：

上下文：我正在尝试通过日志接收器将 GCP 审核日志存储在 Pub/Sub 主题中，以便我可以将这些消息提取到订阅中（并让第 3 方订阅该订阅。

尝试的解决方案： 包含过滤器的日志接收器：logName:"cloudaudit.googleapis.com" 将日志路由到 -> Pub/Sub 主题以存储这些消息 -> 订阅（基于拉取）以查看这些消息。

问题： 来自接收器的日志似乎没有出现在主题中。当我尝试查看主题中的消息时（通过单击 GCP GUI 中的 pull），我没有收到任何消息，即使我确定存在审核日志（我对上面的包含过滤器运行了查询）并继续非常频繁地生成。

问题：为什么没有将日志路由到主题，或者当我从主题拉取时，主题为什么不显示日志？

【参考方案1】：

这是一个权限问题。当你创建一个 sink 时，这个 sink 作为一个身份，你可以这样得到它

gcloud logging sinks describe \
 --format='value(writerIdentity)' <SINK_NAME>

然后，授予此身份发布到 pubsub 的权限，例如

gcloud pubsub topics add-iam-policy-binding <TOPIC_ID> \
  --member=<WRITER_IDENTITY> --role=roles/pubsub.publisher

---

编辑 1

虽然控制台

转到日志路由器部分，单击行尾的 3 个点并查看接收器详细信息

从那里一个新的窗口显示作者身份，复制它

最后，转到 PubSub 主题，选中主题前面的复选框。转到右侧面板，获得许可，单击添加成员。这里添加你的作家身份并选择相应的角色

【讨论】：

有趣。我会通过 GCP 控制台输入这些命令吗？

谢谢！这解决了我的问题。