Security

可能的思科路由器黑客?

  • December 25, 2015

我們有一個來自 ISP 的 Cisco EPC3928AD EuroDocsis 3.0 2-PORT 語音網關。路由器連接到防火牆(一個執行 iptables 和 Wireshark 的 Ubuntu-box)。我們的 LAN (10.0.0.1/24) 超出了防火牆。沒有其他設備連接到路由器。路由器的WIFI已被禁用。

幾天前,我們在獲取郵件或瀏覽時發現了問題。連接開始變慢,有時我們根本沒有連接。這種行為似乎是在不規則的時間段(大約 1-30 分鐘)內隨機發生的。LAN 上的所有設備都會受到影響。Skype 等某些服務不受影響。

ISP 對路由器和與 WAN 其餘部分的連接進行了檢查。他們發現調製解調器本身、信號強度或電纜都沒有問題。他們還設置了對調製解調器打開的 WAN 段的監控,該段執行了幾天而沒有發現任何問題。

我們的區域網路沒有 DHCP。我們還關閉了調製解調器中的 DHCP。面向 WAN 的防火牆上的 NIC 設置為 192.168.0.201。儘管我們的 LAN 有靜態地址,並且每個 NIC 上的 DNS 配置都設置為 ISP 推薦的 DNS,但他們告訴我們,在路由器中啟動 DHCP“有時會有所幫助”……

我們繼續啟動起始地址為 192.168.0.201 且範圍為 1 的 DHCP。我們還為面向調製解調器的 NIC 的 MAC 保留了 192.168.0.201。接下來發生的事情讓我們感到困惑:在路由器的“預分配的 DHCP IP 地址”列表中,一個未知的 MAC,00:11:e6:de:ad:07(00:11:e6 屬於科學亞特蘭大,思科的一部分)正在佔用192.168.0.201。此外,在路由器的“已連接設備摘要”中,出現了相同的 MAC,但這次使用的是 LAN 上的 IP (10.0.0.74)!

我們重新啟動了路由器,但無濟於事。相同的未知 MAC 再次出現,這一次 LAN 地址 (10.0.0.2) 已被 LAN 上的工作站使用。在 IP 表中阻止 MAC 會使 MAC 從“連接的設備摘要”中消失,但仍位於“預分配的 DHCP IP 地址”列表中。我們將 IP-range 設置為 2,因此它現在佔用 192.168.0.202 而不是 192.168.0.201。

重新啟動路由器或將其與防火牆斷開連接無濟於事。未知的 MAC 不斷出現。連接的間歇性問題仍然存在。到底是怎麼回事?這是某種黑客行為嗎?任何輸入將不勝感激。

我也遇到了同樣的情況,使用相同的路由器和完全相同的 MAC 地址 (00:11:e6:de:ad:07)。停電後,我的網路上出現了一個 IP 以 249 結尾​​的 DLNS 伺服器(名為 BRCM-DMS:249)。我解決了在Share and storage上啟用和禁用媒體伺服器的問題。過了一會兒,IP和網路伺服器消失了……

引用自:https://serverfault.com/questions/730495