Nas últimas 4 semanas, notei que as luzes do roteador e do modem piscam continuamente:
OroteadoréumLinksysWRT160NLsendoexecutadoDD-WRTv24-sp2(07/20/12)stdeomodeméumCiscoDPC3825strong>.Omodemécapazderoteartambém,maseudesligueiisso,entãoeleestánomodobridge.
Eutambémtenhodoisservidoreslinuxnaminharede.UmestáexecutandooAsteriskeooutroéumservidordaWeb.
Inicialmente,oservidorasteriscoestavanaDMZ,maseuotireiporcausadotráfegosuspeito.Emvezdisso,envieiummontedeportasparaoservidorAsteriskeaporta80paraoservidordaweb.Depoisdisso,comeceiaperceberummontedeerrosnoslogsdoservidorweb:
192.168.1.1--[05/Mar/2013:12:49:10-0500]"GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:11 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:49:12 -0500] "GET /wpad.dat HTTP/1.1" 499 0 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:23 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:33 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:38 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:40 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:42 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
192.168.1.1 - - [05/Mar/2013:12:50:44 -0500] "GET /wpad.dat HTTP/1.1" 504 183 "-" "-"
Nota: 192.168.1.1
é o IP do meu roteador neste caso ( não o real, mas você tem a idéia ).
Para verificar minha suspeita, desativei o encaminhamento de porta para o servidor da Web (porta 80) e os logs de erro foram interrompidos. Então, concluí que o tráfego vinha de fora da minha rede.
EDITAR: desconectei TUDO, exceto o modem e o roteador, e ainda assim as luzes ainda estão piscando. Eles só param se eu desconectar o cabo do roteador para o modem.
Tem alguma ideia de como posso determinar a origem do tráfego e, esperamos, pará-lo?
EDIT2: consegui habilitar logs de firewall e recebi milhares de pacotes descartados do mesmo IP:
2013-03-05T15:21:30-05:00 my.local.domain.com kernel: [1403284.570000] DROP IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=68.71.197.69 DST=xx.xx.xx.xx LEN=200 TOS=0x00 PREC=0x00 TTL=49 ID=0 DF PROTO=UDP SPT=12882 DPT=4032 LEN=180