Contexto rápido: red doméstica, realizando algunos DPI en mi enrutador perimetral (Ubiquiti EdgeRouter Lite) que gobierna 2 subredes internas que separan mi tráfico de un grupo de dispositivos de compañeros de habitación. Aún no hay IDS en la red, así que no tengo muchos registros que investigar.
Noté una IP fuera del rango privado a través del panel de control de DPI. Tengo reglas de firewall bastante estrictas y no he visto IPs externas antes. La dirección responde a pings y tiene algunos servicios activados / filtrados, pero no se puede encontrar información whois o nslookup. La visita al servidor HTTP de esta IP me lleva a una página que muestra "Página de supervisión - lo siento-hostname-not-available.imrworldwide.com". ¿Desde enlace parece ser un negocio local? La dirección IP desapareció de mi panel de control poco después de que miré a mi alrededor , lo que me hace volver a pensar que ubiquiti solo tiene errores. No aparecen direcciones mac adicionales en mi conmutador por las que fluye todo el tráfico interno. Mientras estaba investigando esto, noté que el AP de Ubiquiti en mi red de "compañeros de habitación" de poca confianza recibió 67kB de "DNS" (esto también es algo que nunca había visto antes). ¿Por qué este AP estaría recibiendo respuestas de DNS y transmitiendo 0kB?
En general, estoy un poco confundido. ¿Debería preocuparme por esto? ¿Es esto solo Ubiquiti cargando y haciendo cosas raras? En cualquier caso, estoy implementando un IDS y haciendo un sombrero de papel de aluminio esta noche :)
La IP en sí es 138.108.50.100.