最近、私のwifiルーター/ケーブルモデムのログに多くの奇妙なイベントを目にしました。多くは、ISP、Orange PolanskaからのIPアドレス83.0.68.240にリンクされています。 「DoS攻撃:Ping Of Death」、「DoS攻撃:ティアドロップまたは派生物」などのイベント。
しかし今日、状況は新たなレベルに上昇しました。IPアドレスは外部の攻撃者のログに表示されることに限定されなくなりました。これは、Wi-Fiネットワーク上のデバイスの1つであるように見えました。リンクされた写真を参照してください: http://imgur.com/YFgLBCJ
デバイスのMacアドレスは、それがAppleデバイスであると示唆しています。ある時点で、デバイスの名前はルームメイトのiPhoneの名前と同じでした。ルームメイトが彼の電話のVPN、そして彼はノーと言った。
ポーランドの人が実際にネットワークに参加した可能性はありますか?
IPhoneがハッキングされた場合、なぜそれがWi-Fiネットワーク上でポーランドのIPアドレスとして表示されるのですか?
ちなみに、私はオレンジポランスカにこの攻撃者をシャットダウンするように2回依頼しましたが、彼らはそれを実行していません。
コンピュータがそのセクションに外部IPと共に表示されるのは、悪意のあるデバイスがそのトラフィックを他のアドレスから送信されたように見せたいためです。これは通常、他の場所のDDOSの一部として行われます。これは、偽の送信元IPによって、返されたすべてのトラフィックが他のアドレスに向かうためです(増幅攻撃のような場合、これは非常に強力です)。ネットワーク全体のパフォーマンスの低下などに気づいていますか?または、StackExchangeを参照しているだけのにもかかわらず、登録されたトラフィックが大量に発生していませんか?
ネットワーク上に侵害されたデバイスがある可能性があります。また、悪意のあるパケットの絶え間ないストリームにより、最終的にルーターがトラフィックを混同し、送信IPパケットが送信元IPを持っているように見えました(Netgearコードがどれほど適切に記述されているかわかりません)。緩和策として、(可能であればそのデバイスから)そのIPへの、またはそのIPからのすべてのトラフィックをブロックしてみて(悪意のあるアクティビティがあると指摘されているのが唯一の場合)、奇妙な動作が停止するかどうかを確認します。
内部ネットワークで、少なくとも侵害されたデバイスが偽装されたIPアドレスを持つパケットを送信している可能性があります。
現在、被害者からアクティブ化されたブラックリスト/セキュリティ対策を回避するために、デバイスにいくつかのIPアドレスを想定させる、またはいくつかのIPアドレスを循環させるマルウェアがすでに存在しています。
特定のIPアドレスをブラックリストに登録しません。私は有効なIPアドレスをホワイトリストに登録し、他のすべてをブロックします。これは実際、いくつかのベンダーによって推奨されています。シスコでは、発信接続の内部ネットワーク/パブリックIPアドレスをホワイトリストに出力ルールとして、ブラックリストに公開ルールとして送信するパブリックIPアドレスと既知の不良ネットワークを送信ルールとして記載しています。
自宅にハッキングされたデバイスがない可能性もありますのでご注意ください。 iPhoneとMacを含む新しいオペレーティングシステムのほとんどは、以前のIPアドレスを循環して新しいDHCP IPアドレスを再利用しようとします。 CPEファームウェアが古く、混乱している可能性があります。この可能性がある場合、あなたとあなたの同僚があなたがポーランドに行ったことがないと確信しているなら、私はあなたのwifiパスワードを変更します。
ISPコンボモデム/ APに付属するいくつかのデフォルトのwifiパスワードのアルゴリズムは過去に解読されており、多くの場合、SSIDからデフォルトのパスワードを取得できます。これはまた、近所の人があなたのwifiを悪用して、より悪質な活動を行う可能性を広げます。