web-dev-qa-db-ja.com

不明なMACアドレスを識別またはブロックできない(パート2)

以前は 、ルーターに接続する5つの不明なMACアドレスについて言及しましたが、インターネットが著しく遅くなります。

ルーター:Tenda D303、場所:インド、接続:BSNL無制限1Mbpsブロードバンド。

ユーザー drjimbob は、インターネットが遅くなる他の考えられる原因を排除するのに役立ちました。これが私の調査です。

  1. 「Wi-Fiのパスフレーズが弱い可能性があるため、隣人がそれを使用しています。」

私は、AES暗号化を使用したWPA2-PSK認証を使用しています。 1か月間、いくつかの複雑なパスフレーズを試しました。近親者以外に隣人はいないので、この問題について話し合った。

  1. 「近隣のルーターからの干渉。」

ここは田舎に似ていて、緑が多く、ルーターが少ないのです。自宅や周辺に、自分のもの以外のWi-Fiアクセスポイントやルーターが見つかりませんでした。また、干渉を引き起こす可能性のある無線機器はそれほど多くありません。

  1. 「帯域幅を使い果たしているビットトレントのようなマルウェアまたはユーザーがインストールしたソフトウェア。」

どのデバイスでもマルウェアを検出できず、大量のダウンロードもありませんでした。

  1. 「ISPの問題。」

Wi-Fiを無効にして、同じルーターからイーサネット経由でインターネットを使用すると、すべてのPCですべて正常に機能するため、ほとんどありません。

次に、遅いインターネットの問題を脇に置きましょう。これらの5つのMACアドレス(すべて00:ffで始まり、DHCPテーブルで「Dell」というタイトルが付いている)が問題です。

  • 私の研究では、遅いインターネットとこれらの存在の間に明確な相関関係があることが示されています5。
  • これら5つをルーターのMACフィルターで「禁止」しましたが、通過しました。
  • これら5つは私のデバイスではありません。私の2台のDellラップトップは、それぞれ9c:2aおよび64:5aで始まる独自のMACアドレスで個別に表示されます。他のすべてのデバイスのMACアドレスも確認しました。

質問:

  1. これらの5つのMACアドレスは何ですか?
  2. それらを取り除くにはどうすればよいですか?

EDIT:5つのMACアドレスは、00:ff:93:86:02:04、00:ff:10:ad:b7:82、 00:ff:14:97:c9:73、00:ff:eb:72:a3:85、00:ff:f6:cc:8e:f7

2
NVZ

これらの5つのMACアドレスはすべて、00:FFドメインにあります。これは、従来、ブリッジ/ルーティングされたアダプターに使用されています。 IEEEによって個々のベンダーに割り当てられることはありません。この場合、2つの可能性があります。

1)悪意のある俳優が何らかの形で内部ネットワークのMACアドレスを偽装している、または

(はるかに可能性が高い)

2)ネットワーク上のコンピューターには、サブネットのARPテーブルに表示されるルーターに登録している仮想(VPN、仮想マシン、Dockerコンテナー、インターネット接続共有など)の種類があります。 1MBpsはストリーミングやダウンロードなどで簡単に詰まる可能性があるため、これらのセッションで生成されたトラフィックが原因でインターネットが遅くなっている可能性があります。

ルーターのDHCPテーブルでそれらを禁止しても機能しないように思われるのは、DHCPが機能する必要がないためです。ホストコンピューターのIPアドレスを使用しているためです。また、メインコンピューターのインターフェイスを介してトラフィックをルーティングしているため、メインコンピューターのMACアドレスを使用しています。

結局のところ、問題が何であるかを決定的に決定する唯一の方法は、MACアドレスが生成しているトラフィックを確認するためにパケットキャプチャ/トレースを実行することであると示唆しているため、そのような検査をサポートするルーターにルーターを変更する必要があるかもしれません。

参照:ベンダーによるMACの検索- https://regauth.standards.ieee.org/standards-ra-web/pub/view.html#registries

8
Herringbone Cat

他のwifi APからの干渉については、干渉する可能性のある重複チャネルで実行されている隠しSSIDのwifi APを考慮してください。したがって、inSSIDerなどの適切なソフトウェアを使用して、範囲内のすべてのwifiアクセスポイントを監視してみてください。次の手順。

  1. ルーターを出荷時の設定にリセットします。
  2. ケーブル接続を使用してルーターを構成します。
  3. Wi-Fi AP SSIDを非表示にし、強力なパスワードを設定します。Wi-Fi設定で、必要に応じてWi-Fiの送信電力を決定します。高い送信電力は、APが遠くから到達可能であることを意味し、侵入者にチャンスを与えます。
  4. デバイスの数が決まっていると思いますので、この実験では各デバイスに静的IPを指定することをお勧めします。さらに、デバイスのMACアドレスを特定し、MACフィルタリングをアクティブにします。
  5. デバイスがすべて接続されたら、疑わしいMACアドレスが再び表示されるかどうかを確認します。
  6. 疑わしいMACアドレスが表示されなくなった場合は、DHCPに再度切り替えますが、IPアドレスの割り当てにはDHCP予約を使用します。これは、静的IPアドレスに似ています。 DHCP予約の設定方法 さらに、IPプールのサイズを、ネットワークに接続する必要があると思われるデバイスの最大数に制限してみてください。
2
PMD

1。これらの5つのMACアドレスは何ですか?

評価するには不十分な情報。実際には不要なホスト、それはあなたが今のところ知る必要があるすべてです。

2。どうすれば削除できますか?

2.:ホワイトリストを実装して、登録されたホストのみがネットワークを使用できるようにします。

2.1:これらのホストを削除するファイアウォールルールを作成します。

すべてが失敗した場合:

スニファを使用してネットワークパケットを分析し、これらのホストが実行しているアクティビティの種類を検出します。 Arp PoisonまたはMac Floodを使用して独自のネットワークを攻撃し、これらの不要なホストからのすべてのパケットを分析します。必要がない場合はとにかくすべてをスニッフィングし、さらに分析するためにパケットを保持します。

永続化する場合は(疑わしい)、IPS(ブリッジ接続を備えた仮想マシン)とHIDSをホストにインストールします。一部のアクティビティログを分析します。何も機能しない場合、ルーターに既知の脆弱性(?)がある可能性があります。

Wi-Fiをリセットするとどうなりますか?これらのホストはすぐに接続していますか?

おそらく何か明らかなものが欠けています。

2
RF03

悪意のある存在を排除することは公平ではありませんが、Dellの1つがルーターとの仮想接続を登録している可能性が非常に高いため、これらのDHCPテーブルエントリが作成されます。

Wiresharkなどのパケットスニファーをダウンロードしてルーターを通過するトラフィックを調べて、それらのエントリの正当性を検証することは別として、各コンピューターのネットワークプロパティを詳しく調べて、他にアダプターがないことを確認することをお勧めします有線/無線接続よりも。

単一のコンピュータが問題を引き起こしているかどうかを確認するために、1台のコンピュータをルーターから切断し、リセットして、もう1台のコンピュータを使用して、ゴーストMACが再び表示されることを確認します。その場合は、他のコンピューターで同じプロセスを使用します。

これに対処する方法についていくつかのアイデアを提供したことを願っています。

2
user124863

Tenda-D303によって提供されるMACアドレスフィルタリングを構成します。すべてのデバイスの既知のMACアドレスのホワイトリストを作成します。

0
sbs