Che cosa sta facendo questo IP polacco sul mio WiFi interno?

2

Ultimamente ho visto molti strani eventi nei registri del mio router wifi / modem via cavo. Molti sono collegati all'indirizzo IP 83.0.68.240 dell'ISP, Orange Polanska. Eventi come "Attacca DoS: Ping Of Death", "Attacca DoS: Teardrop o derivata" ecc.

Tuttavia oggi la situazione è salita ad un nuovo livello: l'indirizzo IP non si limitava più a comparire nei log degli aggressori esterni. Ora sembrava essere uno dei dispositivi sulla rete Wi-Fi. Guarda la foto collegata: link

L'indirizzo Mac del dispositivo indica che si tratta di un dispositivo Apple. Ad un certo punto il nome del dispositivo era lo stesso del nome dell'iPhone di un compagno di stanza. Ho chiesto al compagno di stanza se stava usando una VPN sul suo telefono, e lui ha risposto di no.

È possibile che la persona proveniente dalla Polonia abbia effettivamente inserito la rete?

Se l'iPhone è stato violato, perché dovrebbe apparire sulla rete Wi-Fi come un indirizzo IP polacco?

Per tua informazione, ho chiesto a Orange Polanska due volte di chiudere questo aggressore e non l'hanno fatto.

    
posta Zane 06.05.2016 - 18:52
fonte

3 risposte

2

Il motivo per cui un computer sarebbe elencato in quella sezione con un IP esterno è che il dispositivo dannoso vuole che il suo traffico assomigli a quello proveniente da quell'altro indirizzo. Questo è comunemente fatto come parte di un DDOS di altri luoghi, perché il falso IP sorgente fa sì che tutto il traffico restituito si diriga verso quell'altro indirizzo (in casi come gli attacchi di amplificazione questo può essere molto potente). Stai notando qualcosa di simile a prestazioni scadenti della rete in generale? O un sacco di traffico registrato anche se stai navigando su StackExchange?

C'è probabilmente un dispositivo compromesso sulla tua rete. Può anche darsi che il flusso costante di pacchetti maligni abbia infine causato il routing del router fino al punto in cui sembrava che qualche pacchetto in uscita avesse quell'IP di origine (non si sa quanto sia scritto bene quel codice di Netgear). Come mitigazione, (e se possibile da quel dispositivo) si potrebbe provare a bloccare tutto il traffico verso / da quell'IP (se è l'unico che è stato notato per avere attività dannose) e vedere se lo strano comportamento si interrompe.

    
risposta data 06.05.2016 - 19:06
fonte
1

Potresti avere almeno un dispositivo compromesso che invia pacchetti con indirizzi IP falsificati nella rete interna.

Al giorno d'oggi esiste già un malware che fa sì che un dispositivo possa assumere diversi indirizzi IP, o scorrere vari indirizzi IP, per eludere la lista nera / le misure di sicurezza attivate dalle vittime.

Non inserirei nella lista nera un particolare indirizzo IP; Autorizzo la whitelist dei miei indirizzi IP validi e blocca tutto il resto. Questo è in realtà consigliato da diversi fornitori. Cisco si riferisce alla whitelist delle reti interne / indirizzi IP pubblici per le connessioni in uscita come regole di uscita e la lista nera come fonte i tuoi indirizzi IP pubblici e le reti nocive conosciute per entrare nella tua rete come regole di ingresso.

Si noti che esiste anche la possibilità che non si disponga di un dispositivo compromesso in casa. La maggior parte dei nuovi sistemi operativi, iPhone e Mac inclusi, tenta di ciclare attraverso i loro precedenti indirizzi IP per recuperare un nuovo indirizzo IP DHCP; il tuo firmware CPE potrebbe essere vecchio e confuso da questo. In caso di questa possibilità, se tu e il tuo compagno di lavoro siete abbastanza sicuri di non essere mai stati in Polonia, cambierei la vostra password wifi.

L'algoritmo di diverse password wifi predefinite fornite con ISP combo modem / AP è stato risolto in passato e spesso è possibile ricavare la password predefinita dal SSID. Questo apre anche la possibilità che un vicino possa abusare del tuo wifi per condurre attività più nefaste.

    
risposta data 07.05.2016 - 02:25
fonte
-1

Il tuo router è di proprietà / pegno, temo. Crea un filtro MAC rigoroso come "negato a meno della whitelist" e - inserisci alcuni NMAP per chiudere il SoB. Se l'ISP non sta facendo nulla, aiuta te stesso ... li hai notificati

    
risposta data 07.05.2016 - 04:23
fonte

Leggi altre domande sui tag