¿Puede alguien ayudarme a descifrar qué significan estas entradas de registro de netgear? ¿Estoy siendo hackeado?

3

¿Puede alguien ayudarme a descifrar qué significan estas entradas de registro? ¿Me están hackeando?

Así que este es mi enrutador residencial es un gateway C3700-100NAS de netgear con Spectrum Internet. Por lo general no tengo problemas. Pero de vez en cuando, de forma intermitente y no muy predecible, notaría que mi Internet se desacelerará hasta llegar a un rastreo, e incluso hacer ping al 8.8.8.8 o www.yahoo.com se apagará o tendrá tiempos de locura.

Revisé mis registros de netgear gateway C3700-100NAS y vi esto ... Aparentemente, en el lapso de menos de un minuto, hubo cientos de entradas para la Fuente de "140.3.230.0" y el Destino / Destino de "149.104 .249.105 ". Ninguna de estas direcciones IP tiene nada que ver con mi dirección de IP residencial, ni debería / ningún dispositivo de mi red enviaría ni recibiría nada de estas direcciones de IP desde / hacia.

Basándose en una búsqueda simple, parece que 149.104.249.105 es Ubicación es Washington DC (noroeste de Washington), Distrito de Columbia EE. UU. - ISP es Cogent Communications y que 140.3.230.0 es Ubicación es Columbus, Ohio EE. UU. - ISP es la red DoD Centro de información.

¿Alguien puede tener alguna idea de lo que está pasando?

enlace

=== actualización =====

Pero uno de los problemas es que estoy con TWC / Spectrum y ellos asignan direcciones IP públicas de manera estática, por lo que me quedo con la que he recibido. La única vez que obtuve una nueva IP fue cuando mi enrutador anterior murió y cuando obtuve un enrutador de reemplazo tuve que llamarlos con la información MAC / CM MAC y eso fue después de que registraron el nuevo enrutador en su extremo (también el mismo modelo de netgear C3700) Noté que al ir a Whatismyipaddress obtuve una nueva dirección IP pública. No sucede todo el tiempo, pero cuando sucede, me ralentiza a un rastreo y, por lo general, el reinicio lo detiene, pero no porque haya cambiado a una dirección IP diferente (su estática)

La otra cosa que me pareció extraña es que suponiendo que la dirección IP sea legítima y no falsificada ni nada parecido, aparentemente, según los registros públicos disponibles, parece provenir de una red gubernamental que va a otra red gubernamental

Todos ellos son Fuente de "140.3.230.0" y Destino / Destino de "149.104.249.105"

    
pregunta user163133 05.11.2017 - 19:24
fuente

1 respuesta

8

A primera vista, su red doméstica parece ser utilizada para un ataque de Denegación de Servicio (DoS). Si este es el caso, ya has sido hackeado.

¿Qué debo hacer?

  • Si lo desea, puede comunicárselo a su ISP - > aquí . Su ISP podría estar interesado en ayudarlo a bloquear un ataque en un servidor del Departamento de Defensa.

  • Use Wireshark para monitorear el tráfico en los dispositivos conectados a su enrutador cuando el rastreo sea lento. El dispositivo que produce más tráfico es probablemente el culpable.

  • Actualice su pregunta con algunas muestras de .pcap cuando encuentre al (los) culpable (s).

¿Qué debo encontrar con Wireshark, cómo puedo encontrar al (los) culpable (s)?

  • Desea encontrar paquetes ICMP / ping mayores a 65,536 bytes. (Debe comprender cómo funciona PoD ).

  • Si encuentra esas sesiones de ICMP en un dispositivo, guarde .pcap, tome una captura de pantalla y repita el proceso en los dispositivos restantes. Desea saber cuántos dispositivos se han comprometido.

  • Si encuentra alguna sesión ICMP maliciosa, queremos ver los detalles de las capas 2, 3 y 4.

¡Encontré esas sesiones maliciosas de las que habla en mi dispositivo!

Hay / son algunos malware (s) en su (s) máquina (s), encuéntrelo y destrúyalo.

¿Cómo destruyo el malware?

Hay muchos programas antivirus disponibles. Pero, desde mi punto de vista, la mejor manera sería eliminar totalmente los dispositivos comprometidos.

No encontré nada en Wireshark.

  • inténtalo de nuevo. Puede que Wireshark no sea fácil de usar, trata de estar familiarizado con los filtros. En este caso, filtre para el tráfico ICMP o PING.

Realmente no encontré nada en Wireshark, lo probé en todos mis dispositivos, 5 veces.

Entonces, hay una pequeña posibilidad de que su enrutador esté comprometido. Los atacantes a menudo intentan ocultar su presencia e intentarán suprimir el registro.

Entonces, ¿qué pasa si mi enrutador está en peligro?

  • Asegúrese de que el firmware de su enrutador esté actualizado

  • Restablece tu enrutador a los valores predeterminados de fábrica.

  • No use admin como inicio de sesión, establezca una nueva contraseña segura.

¿Podrían venir estos ataques a través de mi WiFi AP?

Sí, esto podría ser realizado por un dispositivo no invitado que está accediendo a su Wifi. Verifique los contratos DHCP / Static de WiFi de su AP para estar seguro.

¡Importante!

Intente no ingresar contraseñas, información de tarjetas de crédito u otros datos confidenciales en sus dispositivos antes de estar 100% seguro de que sus dispositivos están limpios. Si el malware está en su red haciendo el DOS, es muy probable que también esté presente un registrador de teclas.

    
respondido por el Baptiste 06.11.2017 - 07:03
fuente

Lea otras preguntas en las etiquetas