La maggior parte dei router (anche le unità wifi al dettaglio) hanno una schermata di amministrazione che elenca tutti i client attivi a cui è stato assegnato un indirizzo IP tramite DHCP. Questo di solito elenca anche l'indirizzo MAC del client.

di solito assomigliano a questo:

CLIENT NAME       IP ADDRESS       MAC ADDRESS
android_blah      192.168.1.10     AA-BB-CC-00-00-00
my_pc             192.168.1.11     DD-EE-AA-00-00-00

Se non riconosci i nomi dei clienti - allora un consiglio utile è prendere i primi 3 ottetti dell'indirizzo MAC e googlearli (es. AA-BB-CC) e questo ti dirà il produttore del dispositivo che potrebbe aiuta a determinare se si trova veramente all'interno o all'esterno della tua casa.

Probabilmente non puoi fare molto, dato che la maggior parte delle attrezzature per i consumatori non registrerà ciò che è successo. È probabile che il tuo ISP abbia record sull'attività del tuo account e ciò potrebbe essere utile, ma è improbabile che tu possa essere in grado di ottenerlo senza un ordine del tribunale. Regola generale, a meno che tu non abbia motivo di sospettare qualcosa di nefasto, documenta semplicemente la violazione, risolvila e vai avanti con la vita. Mantenere l'indirizzo MAC della connessione, se ce l'hai (dovrebbe essere elencato nel router o AP se la connessione era recente), ma probabilmente è falso se qualcuno non era in grado di fare qualcosa di buono.

In realtà devi solo essere preoccupato di essere in grado di supportarlo non sei tu. Spetta alle autorità rintracciare qualsiasi attività illecita che possa essere stata svolta (anche se è molto più probabile che si tratti semplicemente di un vicino che blocca la connessione.)

Vale anche la pena eseguire scansioni antivirus e simili sui tuoi altri sistemi per assicurarti che non fossero all'altezza di alcunché all'interno della tua rete, ma se questi non rivelano nulla non sarei così preoccupato. Che cosa ha inizialmente sollevato i tuoi sospetti?

Se la tua attrezzatura ha la possibilità di registrare informazioni utili sulle attività di rete disponibili e attivate, probabilmente si troverà sul router, ma il modo esatto per arrivarci dipende dalla marca e dal modello.

Si noti che la maggior parte di questa risposta risponde alla domanda nel modo in cui la si è formulata, il che sembra indicare che si ritiene che stessero semplicemente utilizzando la rete per una connessione Internet e non attaccando direttamente la rete. Se ciò non è corretto, molte cose che puoi fare cambiano in quanto i computer della tua rete avrebbero informazioni molto preziose nei loro log degli eventi sui tentativi di accesso e simili. È possibile accedere a queste informazioni dal visualizzatore eventi sotto gli strumenti di amministrazione nel pannello di controllo sulla maggior parte delle macchine Windows. Se non riesci a trovarlo lì, puoi anche trovarlo come uno snap-in per Microsoft Management Console, che puoi avviare eseguendo e digitando mmc. Le informazioni qui contenute saranno piuttosto difficili da seguire se non si sa cosa cercare e i dettagli completi su cosa cercare sono un po 'ampi per un formato Q / A (più simile a una serie di conferenze).

Ulteriori dettagli su ciò che ti ha fatto pensare che ciò stia succedendo potrebbero aiutare a restringere l'ambito in cui potresti essere in grado di trovare informazioni.

Puoi scansionare la tua rete con scanner di sicurezza di rete per rilevare eventuali intrusi IP che accedono alla tua rete wifi. Potrebbe non essere una soluzione perfetta per un ambiente aziendale, ma penso che funzionerà per la rete domestica con molti meno nodi in una rete. Di seguito è riportato un elenco di alcuni strumenti di scansione della rete che può esserti di aiuto

• nmap
• scanner di rete

Per l'analisi passiva della rete è possibile utilizzare gli sniffer di rete come wireshark per analizzare le tracce di rete per l'IP di intrusione. Un articolo rilevante potrebbe essere di qualche interesse per una lettura.

Dato che ora so che la tua domanda è teorica, posso rispondere meglio su come puoi configurare la tua rete in modo che tu possa essere in grado di dirlo. Il modo esatto di impostarlo varia da dispositivo a dispositivo, ma ci sono molte opzioni disponibili. La chiave è che hai bisogno di un dispositivo in grado di eseguire il log che si trova in una posizione sulla rete che tutto ciò che la persona farà lo attraverserà.

Per una rete domestica media, questo potrebbe essere il punto di accesso wireless, il router o, se applicabile, il gateway o il firewall. Il punto di accesso wireless acquisirà le informazioni non appena entreranno in rete e farà in modo che tutte le attività in arrivo sulla rete wireless siano registrate, ma se dovessero usare la loro connessione wireless per compromettere un sistema cablato e quindi utilizzare il cavo sistema, avresti un registro incompleto.

Molto probabilmente il router funge anche da gateway e firewall (il dispositivo che fornisce il resto dell'accesso alla rete a Internet e garantisce che Internet non abbia accesso involontario alla rete privata). La registrazione al gateway e / o al firewall garantisce che tutto il traffico in uscita sia registrato, ma non ti dirà nulla di ciò che l'intruso ha fatto internamente sulla tua rete.

Nella maggior parte delle reti domestiche, poiché esiste un solo router e generalmente serve anche come punto di accesso wireless, gateway e firewall, finirà per essere al corrente di tutte le connessioni che attraversano la rete. Potrebbe non avere accesso a tutti i contenuti dei pacchetti che instrada (se viene utilizzata la crittografia) ma almeno (per necessità) ha accesso alle informazioni di routing (cioè, da dove proviene e dove sta andando). Questo è probabilmente il miglior posto in una rete domestica da registrare.

La maggior parte dei router di consumo non dispone di questo tipo di registrazione per impostazione predefinita, tuttavia i firmware di terze parti come DD-WRT spesso aggiungono funzionalità di registrazione ai router che possono scrivere in un archivio interno (spazio limitato) o una condivisione di rete. Esattamente ciò che le informazioni possono essere memorizzate e come è formattato varia da dispositivo a dispositivo, ma in generale informazioni come l'indirizzo IP e MAC del client così come l'IP di destinazione richiesto, la porta e il protocollo (come TCP o UDP) pure come un timestamp può darti un sacco di quello che ti serve per avere almeno un'idea generale di cosa stava succedendo.

Se lo spazio non è un oggetto, potrebbe anche essere possibile registrare il contenuto di ogni pacchetto inviato attraverso la rete, ma questa sarà un'enorme quantità di spazio e potrebbe non essere sicuro escludere gli indirizzi MAC "noti" dal logging per provare a ridurre la quantità poiché lo spoofing MAC è abbastanza facile su una rete wireless. (IE, l'intruso può apparire come una macchina valida) Naturalmente, se si sta andando a questo tipo di lunghezza, si potrebbe anche fare un certificato per macchina e / o non usare un tasto debole a quel punto il problema sarebbe probabile essere evitato in primo luogo.

È sempre possibile impostare un honeypot in concomitanza con la mancata trasmissione del SSID (identificatore del service set). Un utente malintenzionato non saprebbe che esiste l'AP reale, quindi attacca l'honeypot che puoi registrare a vari livelli in base a quanta conoscenza hai. Una semplice ricerca su google ti manterrà con molti strumenti. Il filtraggio degli indirizzi MAC è una buona funzionalità di sicurezza se nessun client è collegato al tuo AP che è improbabile. Ci sono anche dei fallimenti nel non trasmettere il tuo SSID perché è facilmente svelato non appena un client si connette. È anche possibile impostare un proxy come calamaro e registrare varie informazioni come i siti visitati e così via. Spero che questo aiuti.

Dai un'occhiata a Kismet .

Kismet is an 802.11 wireless network detector, sniffer, and intrusion detection system. Kismet will work with any wireless card which supports raw monitoring mode, and can sniff 802.11b, 802.11a, 802.11g, and 802.11n traffic

Kismet includes IDS functionality, providing a stateless and stateful IDS for layer 2 and layer 3 wireless attacks. Kismet can alert on fingerprints (specific single-packet attacks) and trends (unusual probes, disassociation floods, etc).

Puoi impostare kismet su un raspberry pi con una seconda scheda di rete wifi e ascolterà felicemente i client wireless, registrando i loro indirizzi mac e possibilmente risparmiando traffico di pacchetti.