Estou vendo o que parece ser uma atividade estranha no meu roteador primário (o único roteador conectado ao modem do ISP) de um dispositivo Android. Pode ser que eu nunca tenha visto isso antes do fim do dia e a maioria das pessoas se foi e essa pessoa de manutenção é a única outra pessoa na rede. No entanto, o que estou vendo não faz sentido para mim no contexto do que o NAT deve fazer para os dispositivos clientes, pelo menos do que eu entendo. Esta é a primeira vez que vejo uma tabela NAT em mente.
Então, eu tive alguns problemas nesta manhã fazendo uma conexão com um dispositivo conectado ao roteador principal (através do switch primário para outro switch). Eu tive que reiniciar o roteador e mudar. Depois que tudo foi feito para o dia eu tive que fazer a mesma coisa novamente para desligar o dispositivo. Isto é o que me levou a olhar para a tabela NAT no roteador principal para procurar alguma pista sobre o que causou a interrupção temporária. O roteador principal é DD-WRT modificado e eu pude fazer um telnet e botar na mesa.
Eu encontrei um endereço IP privado estrangeiro na tabela! O roteador principal possui um intervalo de endereços da LAN de 192.168.1.1/255
. Eu tenho dois outros roteadores (5 na verdade, mas apenas dois outros envolvidos nessa atividade) conectados ao comutador principal e tenho um endereço do lado da LAN de 192.168.2.1/255
e 192.168.4.1/255
. A primeira vez eu encontrei 192.168.2.108
! Eu entrei na página de administração remota do roteador e descobri que ele foi atribuído a um telefone Android conectado sem fio. Eu bloqueei o endereço MAC do telefone e esperei para ver quem era (quando eles vêm até mim para reclamar sobre a conexão). Esperamos uma hora e ninguém reclamou.
Mais tarde, verifiquei novamente e encontrei outro endereço IP estrangeiro, mas desta vez foi 192.168.4.30
! Então eu entrei no roteador que veio do endereço IP e descobri que era do mesmo telefone Android. Eu lembrei que o cara da manutenção tem um telefone Android, então eu perguntei a ele diretamente e descobri que realmente era o telefone dele.
A primeira vez que o localizei, foi uma conexão com um endereço IP na China. A segunda vez foi uma conexão com um servidor do Amazon EC2. Eu não gravei o primeiro exemplo mas ainda tenho o segundo:
tcp 6 1096 ESTABLISHED src=192.168.4.30 dst=23.21.225.144 sport=53993 dport=443 packets=9 bytes=1131 [UNREPLIED] src=23.21.225.144 dst=192.168.4.30 sport=443 dport=53993 packets=0 bytes=0 mark=0 use=2
Lembre-se de que essa entrada veio de um roteador modificado pelo DD-WRT com um intervalo de endereços IP do lado da LAN de 192.168.1.1/255
.
Esta atividade é rara, mas normal, ou isso indica um telefone Android comprometido?
Editar:
A topologia de rede é bastante direta. O roteador principal é o único roteador conectado ao modem ISP com NAT e DHCP habilitado e é modificado por DD-WRT, por vários motivos. Todos os outros roteadores também têm NAT e DHCP habilitados (com suas próprias sub-redes por vários motivos) e estão conectados (por meio de um comutador principal) ao roteador principal. Não há NAT triplos. Todos os roteadores são de nível comercial (residencial) não comercial. Quando mostro um IP/255
, estou me referindo à sub-rede de Classe C padrão para intervalos de endereços IP privados no lado da LAN; ou seja, 192.168.1.1/255
= 192.168.1.1-192.168.1.255
. Desculpe por qualquer confusão, a terminologia e a notação da minha rede estão desatualizadas.