Che cosa sta facendo questo IP polacco sul mio WiFi interno?

Il motivo per cui un computer sarebbe elencato in quella sezione con un IP esterno è che il dispositivo dannoso vuole che il suo traffico assomigli a quello proveniente da quell'altro indirizzo. Questo è comunemente fatto come parte di un DDOS di altri luoghi, perché il falso IP sorgente fa sì che tutto il traffico restituito si diriga verso quell'altro indirizzo (in casi come gli attacchi di amplificazione questo può essere molto potente). Stai notando qualcosa di simile a prestazioni scadenti della rete in generale? O un sacco di traffico registrato anche se stai navigando su StackExchange?

C'è probabilmente un dispositivo compromesso sulla tua rete. Può anche darsi che il flusso costante di pacchetti maligni abbia infine causato il routing del router fino al punto in cui sembrava che qualche pacchetto in uscita avesse quell'IP di origine (non si sa quanto sia scritto bene quel codice di Netgear). Come mitigazione, (e se possibile da quel dispositivo) si potrebbe provare a bloccare tutto il traffico verso / da quell'IP (se è l'unico che è stato notato per avere attività dannose) e vedere se lo strano comportamento si interrompe.

Potresti avere almeno un dispositivo compromesso che invia pacchetti con indirizzi IP falsificati nella rete interna.

Al giorno d'oggi esiste già un malware che fa sì che un dispositivo possa assumere diversi indirizzi IP, o scorrere vari indirizzi IP, per eludere la lista nera / le misure di sicurezza attivate dalle vittime.

Non inserirei nella lista nera un particolare indirizzo IP; Autorizzo la whitelist dei miei indirizzi IP validi e blocca tutto il resto. Questo è in realtà consigliato da diversi fornitori. Cisco si riferisce alla whitelist delle reti interne / indirizzi IP pubblici per le connessioni in uscita come regole di uscita e la lista nera come fonte i tuoi indirizzi IP pubblici e le reti nocive conosciute per entrare nella tua rete come regole di ingresso.

Si noti che esiste anche la possibilità che non si disponga di un dispositivo compromesso in casa. La maggior parte dei nuovi sistemi operativi, iPhone e Mac inclusi, tenta di ciclare attraverso i loro precedenti indirizzi IP per recuperare un nuovo indirizzo IP DHCP; il tuo firmware CPE potrebbe essere vecchio e confuso da questo. In caso di questa possibilità, se tu e il tuo compagno di lavoro siete abbastanza sicuri di non essere mai stati in Polonia, cambierei la vostra password wifi.

L'algoritmo di diverse password wifi predefinite fornite con ISP combo modem / AP è stato risolto in passato e spesso è possibile ricavare la password predefinita dal SSID. Questo apre anche la possibilità che un vicino possa abusare del tuo wifi per condurre attività più nefaste.

Il tuo router è di proprietà / pegno, temo. Crea un filtro MAC rigoroso come "negato a meno della whitelist" e - inserisci alcuni NMAP per chiudere il SoB. Se l'ISP non sta facendo nulla, aiuta te stesso ... li hai notificati