Contesto rapido: rete domestica, eseguendo alcuni DPI sul mio router perimetrale (Ubiquiti EdgeRouter Lite) che regola 2 sottoreti interne che separano il mio traffico da un gruppo di dispositivi di compagni di stanza. Non ci sono ancora IDS sulla rete, quindi non ho molti registri da esaminare.
Ho notato un IP al di fuori dell'intervallo privato tramite dashboard DPI. Ho regole del firewall piuttosto rigide e non ho mai visto precedenti IP. L'indirizzo risponde ai ping e ha alcuni servizi su / filtrati, ma non è possibile trovare informazioni whois o nslookup. Visitando il server HTTP di questo IP mi atterra su una pagina che mostra "Pagina di monitoraggio - sorry-hostname-not-available.imrworldwide.com". Dal link sembra essere un'azienda locale? L'indirizzo IP è scomparso dalla mia bacheca poco dopo essermi guardato intorno , il che mi riporta a pensare che l'ubiquiti sia solo buggato. Nessun altro indirizzo mac mostra sul mio switch che tutto il traffico interno attraversa. Mentre stavo esaminando questo aspetto, ho notato che l'Ubiquiti AP sulla mia rete meno affidabile "compagno di stanza" ha ricevuto 67kB da "DNS" (questo è anche qualcosa che non ho mai visto prima). Perché questo AP deve ricevere risposte DNS e trasmettere 0kB?
Nel complesso sono solo un po 'confuso. Dovrei essere preoccupato per questo? È solo che Ubiquiti è bacato e sta facendo cose strane? Ad ogni modo, sto implementando un IDS e stasera un cappello di lamina di metallo:)
L'indirizzo IP è 138.108.50.100.