MAC sconosciuto nella rete

4

Alcuni giorni fa, ho notato un indirizzo MAC sconosciuto nella pagina delle statistiche del mio router di casa. La ricerca OUI produce Cisco come produttore. Tuttavia, non ho un tale dispositivo nella mia rete - in realtà, ho annotato ogni indirizzo MAC, lo so.

Questo dispositivo utilizza l'indirizzo 10.137.63.254 in una rete 10.1.0.1/8 , in cui l'area DHCP è 10.0.3.1/24 . Il traffico di questo IP è molto piccolo, il mio router riporta pacchetti di ~ 74 byte ogni ~ 5 minuti (approssimativamente, penso che l'intervallo sia casuale). nmap segnala l'host come inattivo, ma dopo una scansione eccessiva l'IP è cambiato e quindi è tornato al primo.

Ho capito che il traffico appare solo quando il mio laptop Win7 è connesso alla rete. Tuttavia, non sono riuscito a trovare alcun segno di una Cisco NIC. Gli adattatori WLAN e LAN sono Intel e MSI NIC. Wireshark non registra traffico rilevante durante l'ascolto sulla NIC attiva.

C'è un modo per capire cosa sta succedendo?

EDIT: il MAC è 00-05-31-F8-C0-65 .

EDIT: Durante la riproduzione con il firewall, non sono riuscito a capire quale programma lo stesse causando. Ho qualche sospetto, ma dal momento che il programma era davvero '' timido '', ho rinunciato ad un certo punto e reinstallato Windows da un backup pulito. Qualsiasi idea, come diagnosticare tali problemi, è ancora molto apprezzata.

    
posta Stefan 28.04.2016 - 19:06
fonte

2 risposte

1

Forse provalo. Isolare la rete solo con il laptop e il router che produce le statistiche in questione sono collegati. Se il problema riguarda il traffico su tutta la rete WIFI, scollegare tutti i cavi di rete. Se è su un altro filo, spegni il Wi-Fi su entrambi i dispositivi e osserva che non è riattivato.

Esegui Wireshark con un filtro che registra solo gli elementi che corrispondono al MAC normalmente previsto. Lascia correre per la durata necessaria per vedere il modello. Se non riesci a capirlo, prova a sostituire la NIC e diversi router.

    
risposta data 26.01.2017 - 05:17
fonte
0

Può essere una backdoor di rete all'interno della NIC. Non ho mai visto un chip Wifi di questo tipo, ma sicuramente esiste su schede NIC ethernet, consentendo di sniffare il traffico (traffico duplicato), inviare pacchetti o persino nascondere (instradare) il traffico inserendo un filtro all'interno del chip della NIC in modo che l'host non anche vedere il traffico in entrata / in uscita filtrato. Questo tipo di backdoor è generalmente limitato a pochi KB / sec in download / upload. Ma è sufficiente ricevere ordini da un hacker e inviare piccole quantità di dati.

    
risposta data 30.11.2018 - 16:31
fonte

Leggi altre domande sui tag