Sou um administrador de rede doméstica amador e estou tentando garantir que a rede seja tão segura quanto possível. Temos uma conexão a cabo passando por um roteador Linksys (WRT320) com o firmware dd-wrt (v24-sp2 mini) bloqueando a maioria das conexões de entrada e encaminhando algumas. Eu não sou especialista, então eu não tenho mexido muito nas configurações. Tudo é principalmente em suas configurações padrão com serviços não essenciais desativados.
Eu tenho procurado pelos logs de conexão de entrada e descobri que estou recebendo solicitações de conexão constantes que estão sendo descartadas do IP privado, 10.160.0.1:bootpc (UDP) ( port 68 , eu acho). Pelo nome, inicialmente pensei que era algum computador tentando iniciar remotamente um computador na rede. Depois de consultá-lo, entendo que o serviço ao qual ele está tentando se conectar é o servidor DHCP no roteador, mas não tenho ideia de onde esses pedidos estão vindo.
Eu estou fazendo isso tudo a partir do webui para o roteador, então os logs são bem barebones. Este é o tipo de informação que vejo:
Source IP Protocol Destination Port Number Rule
10.160.0.1 UDP bootpc Dropped
(repeated)
É um firmware baseado em Linux, então eu deveria ser capaz de cutucar meu nariz. Eu não sou tão bom com o lado administrativo do Linux.
Todos os computadores em casa são contabilizados. Eu sei quais computadores estão conectados e eles não estão executando serviços que não deveriam ser. A conexão sem fio é segura para que nenhum computador desconhecido possa conectar o AFAIK. Eu simplesmente não sei como identificar esse IP desonesto.
Uma fonte potencial que isso pode vir é que alguns de nossos computadores possuem programas de login remotos (LogMeIn) para que meu pai possa se conectar remotamente aos computadores. No entanto, os computadores estão desligados (ou desativados) e ele não o usa com tanta frequência quanto costumava fazer. Eu teria pensado que o endereço IP estaria mostrando como um endereço não privado real se ele estivesse tentando se conectar de qualquer maneira.
Eu também tenho um segundo roteador sem fio que está agindo como um ponto de acesso e conecta as conexões ao principal. É um Linksys WRT54GL com o mesmo firmware com praticamente as mesmas configurações exatas e tudo o mais - os roteadores e todos os computadores - estão na mesma sub-rede AFAIK.
De onde vêm essas conexões?
Executando tcpdump para verificar os pacotes, vejo estas entradas:
root@WRT320N:/tmp# tcpdump -XX -e &> dump.txt root@WRT320N:/tmp# cat dump.txt | grep 10.160.0.1 16:58:49.918259 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300 16:59:07.303484 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1 16:59:32.351746 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1 16:59:37.574938 00:19:2f:e5:ba:d9 (oui Unknown) > 01:00:5e:00:00:01 (oui Unknown), ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype IPv4, 10.160.0.1 > all-systems.mcast.net: igmp query v2 16:59:39.829927 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 341: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 295 16:59:40.767904 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 341: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 295 16:59:40.867497 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1 16:59:48.905628 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 341: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 295 16:59:49.132869 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1 16:59:51.378274 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 341: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 295 16:59:53.848036 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300 17:00:10.841075 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 340: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 294 17:00:12.137809 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 340: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 294 17:00:14.179802 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1 17:00:16.196078 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 340: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 294 17:00:21.349701 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300 17:00:22.445556 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1 17:00:23.366436 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300 17:00:24.162903 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 340: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 294 17:01:04.274555 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 64: vlan 2, p 0, ethertype ARP, arp who-has 10.160.1.49 tell 10.160.0.1 17:01:07.439837 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300 17:01:07.457221 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300 17:01:09.454207 00:19:2f:e5:ba:d9 (oui Unknown) > Broadcast, ethertype 802.1Q (0x8100), length 346: vlan 2, p 0, ethertype IPv4, 10.160.0.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length: 300
aparado para brevidade
Não sei o que fazer com isso. Pesquisando on-line no all-systems.mcast.net mostra um número de pessoas também recebendo esses pacotes também, mas sem respostas reais que eu possa ver.
O tráfego de DHCP que você vê é especial, pois o endereço de origem será 0.0.0.0 - não há muita ajuda para encontrar a origem.
É improvável que isso seja algo para se alarmar - esse tráfego de transmissão deve ocorrer sempre que um dispositivo se conecta à rede, se conecta à rede sem fio, etc.
Se você ainda quiser procurá-lo, será necessário obter o endereço MAC de origem do tráfego e rastreá-lo a partir daí.
O tráfego BOOTP / DHCP do cliente durante a fase DHCPDiscover (e durante a fase DHCPRequest) é transmitido para todos os nós na mesma rede física (ff-ff-ff-ff-ff-ff / 255.255.255.255) e poderia estar vindo de qualquer dispositivo; computador, console de jogos, smartphone, etc., etc. Nos pacotes DHCPDiscover e DHCPRequest, você verá o endereço MAC de origem do cliente, para que possa rastreá-lo observando isso.
Os pacotes DHCPDiscover e DHCPRequest de um cliente se originam da porta 68 no cliente destinado à porta 67 de um servidor DHCP.
Os pacotes DHCPOffer e DHCPAck de um servidor DHCP são originários da porta 67 no servidor destinado à porta 68 do cliente.
O tráfego que você está vendo pode ser originado no cliente ou no servidor, dependendo da fase que está ocorrendo quando você está vendo o tráfego.
Você pode determinar se é o servidor ou o cliente observando o valor do DHCP OpCode 53:
Os pacotes DHCPDiscover, DHCPRequest e DHCPInform são originários do cliente.
Os pacotes DHCPOffer e DHCPAck são originados do servidor.
Tags networking security ip router dd-wrt