Qualcuno può aiutarmi a decifrare cosa significano queste voci del registro di netgear? Sono stato hackerato?

3

Qualcuno può aiutarmi a decifrare cosa significano queste voci di registro? Sono stato hackerato?

Quindi questo è il mio router residenziale è un gateway netgear C3700-100NAS con Spectrum Internet. Di solito non ho problemi. Ma ogni tanto, a intermittenza e non molto prevedibile, noterei che il mio Internet rallenta a passo d'uomo, e anche il ping a 8.8.8.8 o www.yahoo.com si interrompe o ha momenti folle.

Ho controllato i miei log netgear C3700-100NAS e ho visto questo .... Apparentemente nell'arco di meno di un minuto circa c'erano centinaia di voci per Source di "140.3.230.0" e Target / Destination di "149.104 .249.105" . Nessuno di questi IP ha nulla a che fare con il mio indirizzo IP residenziale né dovrebbe / dovrebbe alcun dispositivo sulla mia rete inviare o ricevere nulla da o verso nessuno di questi indirizzi IP.

Sulla base di una semplice ricerca sembra che 149.104.249.105 sia Location è Washington DC (Northwest Washington), District of Columbia USA - ISP è Cogent Communications e che 140.3.230.0 è Location is Columbus, Ohio US - ISP is DoD Network Centro informazioni.

Qualcuno può avere un'idea di cosa sta succedendo?

link

=== update =====

Ma uno dei problemi è che sono con TWC / Spectrum e assegnano staticamente indirizzi IP pubblici quindi sono bloccato con quello che ho ottenuto. L'unica volta che ho avuto un nuovo IP è stato quando il mio router precedente è morto e quando ho ricevuto un router sostitutivo ho dovuto chiamarli con le informazioni MAC / CM MAC e dopo aver registrato il nuovo router alla loro estremità (anche lo stesso modello C3700 netgear) Ho notato che quando andavo a whatismyipaddress ho ottenuto un nuovo indirizzo IP pubblico. Non succede sempre, ma quando succede, rallenta la scansione e di solito un riavvio lo interrompe, ma non perché è cambiato in un indirizzo IP diverso (è statico)

L'altra cosa che pensavo fosse strana è che supponendo che l'indirizzo IP sia legittimo e non spoofato o altro, apparentemente basato su qualsiasi record pubblico disponibile, sembra che provenga da una rete governativa diretta a un'altra rete governativa

Tutti sono sorgente di "140.3.230.0" e destinazione / destinazione di "149.104.249.105"

    
posta user163133 05.11.2017 - 19:24
fonte

1 risposta

8

A prima vista, la tua rete domestica sembra essere utilizzata per un attacco Denial of Service (DoS). Se questo è il caso, sei già stato violato.

Che cosa dovrei fare?

  • Se lo desideri, puoi farlo sapere al tuo ISP - > qui . Il tuo ISP potrebbe essere interessato ad aiutarti a bloccare un attacco su un server del Dipartimento della Difesa.

  • Usa Wireshark per monitorare il traffico sui dispositivi collegati al router quando la scansione rallenta. Il dispositivo che produce la maggior parte del traffico è probabilmente il colpevole.

  • Aggiorna la tua domanda con alcuni campioni di .pcap quando trovi il / i colpevole / i.

Cosa dovrei trovare con Wireshark, come trovo il / i colpevole / i?

  • Vuoi trovare pacchetti ICMP / ping più grandi di 65.536 byte. (Devi capire come funziona PoD .)

  • Se trovi quelle sessioni ICMP su un dispositivo, salva il file .pcap, fai uno screenshot e ripeti il processo sui dispositivi rimanenti. Vuoi sapere quanti dispositivi sono stati compromessi.

  • Se trovi qualche sessione ICMP dannosa, vogliamo vedere i dettagli del livello 2, 3 e 4.

Ho trovato quelle sessioni dannose di cui parli sul mio dispositivo! (s)

Ci sono / sono alcuni malware sul tuo computer, lo trovi e lo bombarda.

Come faccio a nuotare il malware?

C'è un sacco di software antivirus disponibili. Ma, dal mio punto di vista, il modo migliore sarebbe quello di cancellare completamente i dispositivi compromessi.

Non ho trovato nulla su Wireshark.

  • Prova di nuovo. Wireshark potrebbe non essere facile da usare, provare a familiarizzare con i filtri. In questo caso, filtra per traffico ICMP o PING.

Non ho trovato nulla su Wireshark, provato su tutti i miei dispositivi, 5 volte.

Quindi, c'è una leggera possibilità che il tuo router sia compromesso. Gli aggressori spesso tentano di nascondere la loro presenza e tentano di sopprimere la registrazione.

Che cosa succede se il mio router è compromesso?

  • Assicurati che il firmware del tuo router sia aggiornato

  • Ripristina il router ai valori predefiniti di fabbrica.

  • Non utilizzare admin come login, imposta una nuova password complessa.

Questi attacchi potrebbero arrivare attraverso il mio punto di accesso WiFi?

Sì, questo potrebbe essere eseguito da un dispositivo non invitato che sta accedendo al Wifi. Verifica i lease DHCP / statici del tuo AP in modo sicuro.

Importante!

Cerca di non inserire password, dati della carta di credito o altri dati sensibili sui tuoi dispositivi prima di essere sicuro al 100% che i tuoi dispositivi siano puliti. Se il malware si trova sulla tua rete facendo il DOS, ci sono buone probabilità che anche un keylogger sia presente.

    
risposta data 06.11.2017 - 07:03
fonte

Leggi altre domande sui tag