No se pueden identificar ni bloquear direcciones MAC desconocidas (Parte 2)

Navega tus respuestas
2

Anteriormente , mencioné 5 direcciones MAC desconocidas que a menudo se conectan a mi enrutador y notablemente hace que mi internet lento.

Enrutador: Tenda D303, Ubicación: India, Conexión: BSNL Unlimited 1Mbps de banda ancha.

El usuario drjimbob ayudó a eliminar otras posibles causas de Internet lenta, y aquí está mi investigación:

  1. “Frase de contraseña posiblemente débil para Wi-Fi, por lo tanto, los vecinos la usan”.

He estado usando la autenticación WPA2-PSK, con cifrado AES. Probé varias frases de contraseña complejas por un mes ahora. No hay otros vecinos aparte de algunos familiares cercanos, y he discutido con ellos este problema.

  1. "Interferencia de los enrutadores de los vecinos".

Es más como un campo, más vegetación y menos enrutadores aquí. No pude encontrar ningún punto de acceso Wi-Fi visible o un enrutador que no sea el mío en mi casa y mi vecindario. Además, no hay muchos equipos inalámbricos aquí que puedan causar interferencias.

  1. "Malware o software instalado por el usuario como bittorrent usando ancho de banda".

No se pudo encontrar ningún malware en ninguno de mis dispositivos, ni ninguna descarga pesada.

  1. "El problema del ISP".

Muy poco probable porque cuando desactivo la conexión Wi-Fi y uso Internet a través de Ethernet desde el mismo enrutador, todo funciona bien en todas las PC.

Ahora dejemos de lado el problema de internet lento. Lo que me preocupa son estas 5 direcciones MAC, todas con 00: ff y tituladas "DELL" en la tabla DHCP.

  • Mi investigación muestra una clara correlación entre Internet lento y la presencia de estos 5.
  • He "prohibido" estos 5 en el filtro MAC del enrutador, pero pasan.
  • Estos 5 no son mis dispositivos. Mis 2 computadoras portátiles DELL aparecen por separado con sus propias direcciones MAC que comienzan con 9c: 2a y 64: 5a respectivamente. Incluso revisé todas las direcciones MAC de mis otros dispositivos.

Preguntas:

  1. ¿Qué son estas 5 direcciones MAC?
  2. ¿Cómo me deshago de ellos?

EDITAR: Las 5 direcciones MAC son: 00: ff: 93: 86: 02: 04, 00: ff: 10: ad: b7: 82, 00: ff: 14: 97: c9: 73, 00: ff: eb: 72: a3: 85, 00: ff: f6: cc: 8e: f7

    
pregunta NVZ 14.10.2016 - 20:44
fuente

5 respuestas

8

Esas 5 direcciones MAC están todas en el dominio 00: FF, que se usan tradicionalmente para los adaptadores puenteados / enrutados. No están asignados a ningún proveedor individual por el IEEE. En este caso, tienes dos posibilidades:

1) Un actor malintencionado de alguna manera falsifica direcciones MAC en su red interna, o

(mucho más probable)

2) Una computadora en su red tiene algún tipo de adaptador (VPN, Máquina Virtual, Docker Container, Conexión compartida a Internet, etc.) que se están registrando en su enrutador a medida que aparecen en la tabla ARP de la subred. Quizás el tráfico generado por esas sesiones está causando que Internet sea lento, ya que 1MBps se puede obstruir fácilmente mediante transmisión o descarga, etc.

Es probable que la razón por la que prohibirlos en la tabla DHCP de su enrutador no funcione es porque no necesitan que DHCP funcione, están usando la dirección IP de la computadora host. También tienen tráfico enrutado a través de la interfaz de la computadora principal, por lo que utilizan la dirección MAC de la computadora principal.

Al final, como otros han sugerido, la única manera de determinar de manera concluyente cuál es el problema sería ejecutar una captura / rastreo de paquetes para ver qué tráfico está generando la dirección MAC, lo que puede requerir cambiar el enrutador por uno que sea compatible tal inspección

Referencia: Buscar MAC por proveedor - enlace

    
respondido por el Herringbone Cat 17.10.2016 - 19:05
fuente
2

1. ¿Qué son estas 5 direcciones MAC?

Insuficiente información para evaluar. En realidad, hosts no deseados, es todo lo que necesita saber por ahora.

2. ¿Cómo me deshago de ellos?

2.0 : implemente una lista blanca, de modo que solo los hosts registrados puedan usar su red.

2.1 : crea reglas de firewall para eliminar estos hosts.

Si todo falla:

Analice sus paquetes de red con un rastreador y detecte qué tipo de actividades realizan estos hosts. Ataca tu propia red con Arp Poison o Mac Flood y luego analiza todos los paquetes provenientes de estos hosts no deseados. si no es necesario, huela todo de todos modos y guarde los paquetes para un análisis más detallado.

En caso de persistencia (dudo), instale IPS (máquina virtual con conexión puenteada) y HIDS en sus hosts. Analizar algunos registros de actividad. Si nada funciona, tal vez su enrutador tenga una vulnerabilidad conocida (?).

¿Qué sucede cuando reinicias tu wifi? ¿Se están conectando estos hosts inmediatamente?

Probablemente te estás perdiendo algo obvio.

    
respondido por el RF03 17.10.2016 - 09:35
fuente
2

Si bien no sería justo descartar una presencia maliciosa, existe una gran posibilidad de que uno de sus Dell esté registrando una conexión virtual con el enrutador, creando estas entradas de la tabla DHCP.

Además de descargar un rastreador de paquetes como Wireshark & indagando en el tráfico que atraviesa su enrutador en un intento de verificar la legitimidad de esas entradas ... Sugeriría echar un vistazo más de cerca a las propiedades de red de cada computadora para verificar que no haya adaptadores adicionales aparte de una conexión por cable / inalámbrica.

En un intento de averiguar si una computadora en particular está causando o no el problema, intente desconectar una computadora del enrutador, restablecerla, & Usando la otra computadora para verificar que los MAC fantasmas aparecen nuevamente. Si lo hacen, usa el mismo proceso en la otra computadora.

Espero haber dado algunas ideas sobre cómo abordar esto.

    
respondido por el user124863 19.10.2016 - 23:35
fuente
2

Con respecto a la interferencia de otros puntos de acceso wifi, tenga en cuenta los puntos de acceso wifi con SSID oculto que se ejecutan en canales superpuestos que pueden interferir con su. Por lo tanto, intente monitorear todos los puntos de acceso wifi dentro del rango utilizando el software adecuado como inSSIDer. También sugeriría usted considera los siguientes pasos;

  1. Restablece tu enrutador a la configuración de fábrica.
  2. configure su enrutador usando la conexión por cable.
  3. Oculte su SSID AP de wifi y establezca una contraseña segura. En la configuración de wifi, determine la potencia de transmisión de su wifi según su necesidad. Una potencia de transmisión alta significa que su AP está accesible desde una distancia mayor y le da la oportunidad a los intrusos.
  4. Supongo que tiene un número fijo de dispositivos, por lo que sería mejor darle a cada dispositivo una IP estática para este experimento. Además, determine las direcciones MAC de sus dispositivos y active el filtrado de MAC.
  5. Cuando todos sus dispositivos estén conectados, verifique si aparecen nuevamente direcciones MAC sospechosas.
  6. Si ya no ve direcciones MAC sospechosas, cambie a DHCP nuevamente, pero utilice las Reservas DHCP para asignar direcciones IP. De alguna manera, esto es similar al direccionamiento IP estático. Cómo configurar reservas DHCP Además, trate de limitar el tamaño de su grupo de IP al número máximo de dispositivos que cree que necesitan estar conectados a su red.
respondido por el PMD 23.10.2016 - 10:00
fuente
0

Configure el filtrado de direcciones MAC que proporciona Tenda-D303. y cree una lista blanca para todas las direcciones MAC conocidas de sus dispositivos.

    
respondido por el sbs 21.01.2017 - 07:07
fuente

Lea otras preguntas en las etiquetas

¿Es una debilidad poder ver los scripts del lado del servidor? DSA Genera diferentes firmas con los mismos datos [cerrado]