Impossibile identificare o bloccare indirizzi MAC sconosciuti (Parte 2)

2

Precedentemente , ho menzionato 5 indirizzi MAC sconosciuti che si collegano spesso al mio router e causa in modo evidente il mio Internet lento.

Router: Tenda D303, Ubicazione: India, Connessione: BSNL Unlimited a banda larga da 1 Mbps.

L'utente drjimbob ha contribuito a eliminare altre possibili cause per l'internet lento, ed ecco la mia ricerca:

  1. "Probabilmente passphrase debole per il Wi-Fi, quindi i vicini che lo utilizzano."

Utilizzo l'autenticazione WPA2-PSK, con crittografia AES. Ho provato diverse passphrase complesse per un mese. Non ci sono vicini, a parte alcuni familiari stretti, e ho discusso con loro questo problema.

  1. "Interferenze dai router dei vicini."

È più simile a una campagna, più verde e meno router qui. Non sono riuscito a trovare alcun punto di accesso Wi-Fi visibile o router diverso dal mio nella mia casa e nelle vicinanze. Inoltre, non ci sono molte apparecchiature wireless qui che potrebbero causare interferenze.

  1. "Malware o software installato dall'utente come bittorrent che usa la larghezza di banda."

Impossibile trovare malware su nessuno dei miei dispositivi, né alcun download pesante.

  1. "Problema dell'ISP."

Altamente improbabile perché quando disattivo il Wi-Fi e utilizzo internet via Ethernet dallo stesso router, tutto funziona perfettamente, su tutti i PC.

Ora accantoniamo il problema di internet lento. Questi 5 indirizzi MAC, tutti a partire da 00: ff, e intitolati "DELL" nella tabella DHCP sono ciò che mi disturba.

  • La mia ricerca mostra una chiara correlazione tra Internet lento e presenza di questi 5.
  • Ho "bannato" questi 5 sotto il filtro MAC del router, eppure sono passati.
  • Questi 5 non sono i miei dispositivi. I miei 2 laptop DELL appaiono separatamente con i loro indirizzi MAC a partire da 9c: 2a e 64: 5a rispettivamente. Ho anche controllato tutti gli indirizzi MAC di tutti i miei altri dispositivi.

Domande:

  1. Quali sono questi 5 indirizzi MAC?
  2. Come faccio a sbarazzarmene?

EDIT: i 5 indirizzi MAC sono: 00: ff: 93: 86: 02: 04, 00: ff: 10: annuncio: b7: 82, 00: ff: 14: 97: c9: 73, 00: ff: eb: 72: a3: 85, 00: ff: f6: cc: 8e: f7

    
posta NVZ 14.10.2016 - 20:44
fonte

5 risposte

8

Questi 5 indirizzi MAC sono tutti nel dominio 00: FF, che sono usati tradizionalmente per adattatori a ponte / instradati. Non sono assegnati ad alcun singolo fornitore dall'IEEE. In questo caso, hai due possibilità:

1) Un attore malintenzionato che in qualche modo sta falsificando gli indirizzi MAC sulla rete interna, o

(molto più probabile)

2) Un computer sulla rete ha un qualche tipo di adattatore virtuale (VPN, Virtual Machine, Docker Container, Condivisione connessione Internet, ecc.) che si registra con il router come appaiono nella tabella ARP della sottorete. Forse il traffico generato da queste sessioni sta rallentando Internet, dato che 1MBps può essere facilmente ostruito dallo streaming o dal download ecc.

Probabilmente è il motivo per cui il divieto di metterli sulla tabella DHCP del router non sembra funzionare è che non hanno bisogno di DHCP per funzionare - stanno usando l'indirizzo IP del computer host. Stanno anche facendo instradare il traffico attraverso l'interfaccia del computer principale, utilizzando quindi l'indirizzo MAC del computer principale.

Alla fine, come altri hanno suggerito, l'unico modo per determinare in modo definitivo quale sarebbe il problema sarebbe eseguire un pacchetto di acquisizione / traccia per vedere quale traffico viene generato dall'indirizzo MAC, che potrebbe richiedere la modifica del router con uno che supporta tale ispezione.

Riferimento: Ricerca MAC per fornitore - link

    
risposta data 17.10.2016 - 19:05
fonte
2

1.Che sono questi 5 indirizzi MAC?

Informazioni insufficienti da valutare. Host realmente indesiderati, è tutto ciò che devi sapere per ora.

2.Come faccio a liberarmene?

2.0 : implementa una whitelist, quindi solo gli host registrati possono utilizzare la tua rete.

2.1 : crea regole firewall per eliminare questi host.

Se tutto fallisce:

Analizza i tuoi pacchetti di rete usando uno sniffer e individua il tipo di attività che stanno facendo questi host. Attacca la tua rete con Arp Poison o Mac Flood e poi analizza tutti i pacchetti provenienti da questi host indesiderati. se non è necessario annusare tutto e comunque conservare i pacchetti per ulteriori analisi.

In caso di persistenza (dubito) installa IPS (macchina virtuale con connessione a ponte) e HIDS sui tuoi host. Analizza alcuni registri di attività. Se non funziona nulla, il tuo router ha una vulnerabilità nota (?).

Che cosa succede quando ripristini il tuo wifi? Questi host si connettono immediatamente?

Probabilmente ti manca qualcosa di ovvio.

    
risposta data 17.10.2016 - 09:35
fonte
2

Anche se non sarebbe giusto escludere una presenza malevola, c'è una fortissima possibilità che una delle tue Dell stia registrando una connessione virtuale con il router, creando così queste voci della tabella DHCP.

Oltre a scaricare uno sniffer di pacchetti come Wireshark & scavare nel traffico che attraversa il router nel tentativo di verificare la legittimità di tali voci ... Suggerirei di dare un'occhiata più da vicino alle proprietà della rete di ciascun computer per verificare che non ci siano adattatori aggiuntivi oltre a una connessione cablata / wireless.

Nel tentativo di capire se un computer singolare sta causando il problema ~ prova a scollegare un computer dal router, resettandolo, & usando l'altro computer per verificare che i MAC fantasma appaiano di nuovo. Se lo fanno, usa lo stesso processo sull'altro computer.

Spero di aver dato alcune idee su come affrontarlo.

    
risposta data 19.10.2016 - 23:35
fonte
2

Per quanto riguarda le interferenze da altri punti di accesso wifi, tieni in considerazione gli AP WiFi con SSID nascosto che si sovrappongono a canali che possono interferire con il tuo.Tuttavia, prova a monitorare tutti i punti di accesso Wi-Fi all'interno del raggio utilizzando software adeguato come inSSIDer. tu consideri i seguenti passi;

  1. Ripristina il router alle impostazioni di fabbrica.
  2. configura il tuo router usando la connessione via cavo.
  3. Nascondi il tuo SSID AP WiFi e imposta password complessa. Nelle impostazioni wifi, determina la potenza di trasmissione del tuo wifi in base alle tue esigenze. Alta potenza di trasmissione significa che il tuo AP è raggiungibile da una distanza più lontana e dà una possibilità agli intrusi.
  4. Suppongo che tu abbia un numero fisso di dispositivi, quindi sarebbe meglio assegnare a ciascun dispositivo un IP statico per questo esperimento. Inoltre, determinare gli indirizzi MAC dei dispositivi e attivare il filtro MAC.
  5. Quando i tuoi dispositivi sono tutti collegati, controlla se gli indirizzi MAC sospetti appaiono di nuovo.
  6. Se non visualizzi più indirizzi MAC sospetti, passa di nuovo a DHCP ma utilizza le prenotazioni DHCP per l'assegnazione degli indirizzi IP. In alcuni casi questo è simile all'indirizzamento IP statico. Come impostare le prenotazioni DHCP Inoltre, provare a limitare le dimensioni del pool IP al numero massimo di dispositivi che si ritiene debbano essere connessi alla rete.
risposta data 23.10.2016 - 10:00
fonte
0

Configurare il filtraggio degli indirizzi MAC fornito da Tenda-D303. e creare una whitelist per tutti i tuoi dispositivi noti Indirizzi MAC.

    
risposta data 21.01.2017 - 07:07
fonte

Leggi altre domande sui tag