Quise investigar que era lo que pasaba asi que como siempre hago para trabajar con redes puse a andar wireshark para ver que sucedia y esto fue lo que encontre:
****************************************************************************************
[1]-->mi router estaba enviando paquetes SSDP[https://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol]
[2]-->no solo era mi router tambien lo estaba haciendo otra IP en mi red [Location:http://10.0.0.7:2869/upnphost/udhisapi.dll?content=uuid:491edc4f-388c-4235-a391-bb0642861f38\r\n]
[3]-->los paquetes SSDP tenian cabezeras http [NOTIFY * HTTP /1.1 - M-SEARCH * HTTP/1.1]
[4]-->todos ivan a la misma direccion y puerto[239.255.255.250:1900]
****************************************************************************************
Todos los que me conocen saben lo curioso que soy y podrian adivinar que sera lo siguiente que pasara..
Primero: use nmap para escanear el router como parecia ser el origen del problema y encontre unos puertos abiertos:
Código:
-------------------------------------
Scanning 10.0.0.1 [1000 ports]
Discovered open port 443/tcp on 10.0.0.1
Discovered open port 21/tcp on 10.0.0.1
Discovered open port 80/tcp on 10.0.0.1
Discovered open port 23/tcp on 10.0.0.1
Discovered open port 8085/tcp on 10.0.0.1
--------------------------------------
como no se de memoria cuales son los servicios que corren en cada puerto[a excepcion del 21,23 y 80] busque informacion sobre el puerto 8085, pero los resultados no me convencieron, algunos decian que se usa para correr un VMWare server? que si audio/video? naaaah! asi que volvi a mirar el fingerprint de Nmap para ver que podia encontrar:
No se si an visto los 'Service Fingerprints' de Nmap pero mirarlos es un poco dificil asi que tuve que limpiarlo[quitarle todos lo \x20] para poderlo leer de mejor manera...y resultaron ser cabezeras http:
Código:
GetRequest,16E,"HTTP/1\.0 401 Unauthorized\r
Server:Apache\r\n
Pragma: no-cache\r\nCache-Control: max-age=0, must-revalidate\r\nConnection: close\r\nContent-type: text/html\r\nWWW-Authenticate: Basic realm=\"Thomson Gateway\"\r\n\r\n
<HEAD>
<TITLE>401 Authorization Required</TITLE>
</HEAD>
<BODY>
<H1>401 Authorization Required</H1>
Browser not authentication-capable or authentication failed.
</BODY>
Código:
HTTPOptions,155,"HTTP/1\.0\ 400 Bad Request
Server: Apache
Pragma: no-cache
Cache-Control: max-age=0, must-revalidate
Connection: close
Content-type: text/html
<HEAD>
<TITLE>400 Bad Request</TITLE>
</HEAD>
<BODY><H1>400 Bad Request</H1>
Your clientsent a query that this server could not nunderstand.
<P>Reason: Invalid or unsupported method.<P>
</BODY>
y me di cuenta que debia ser un servidor.....
segundo: busque informacion en google sobre la dichosa DLL que aparecia en la direccion que estaba enviando la otra IP de mi red, ya que esa IP era de un host windows a primera instancia pense que se trataba de alguna infeccion..
la mejor descripcion de para que sirve la encontre en ingles...
Código:
After discovery of existing network devices, the UPnP Device Host, along with the udhisapi.dll module, does the following:
1. Announce the device in accordance to UPnP's discovery protocol.
2. Respond to queries for the device's description.
3. Route control requests to the part of the device's code that implement its functions.
4. Maintain event subscriptions to services that the device provides.
5. Send event notifications to subscribers when the state of the device's service changes.
..la funcion numero uno[anunciar el equipo en concordancia con el protocolo de descubrimiento UPnP me dejo mas preguntas que respuestas...si es un protocolo de anuncion de equipos, por que lo hace una pc?, por que mi router debe hacerlo tantas veces? y por que la conexión se pierde cuando esta haciendo ese proceso? loooooooooool me estaba poniendo loco.
Aparte HD Moore y un equipo de personas[http://www.itnews.com.au/News/330477,researchers-warn-of-widespread-upnp-bugs.aspx] habian descubierto un fallo en UPnP, esto me tenia nervioso, por que pense que quiza alguien estaba jugando con mi router y posiblemente podria haber interceptado algo de informacion..
Pero decidi escanear mi router el cual resulto negativo a la prueba de UPnP de rapid7[http://upnp-check.rapid7.com/]
Pero el problema persistia y ya hasta sudaba la frustracion...
he aqui la razon por la que este post se ha hecho tan largo, decidi mirar algunos paquetes interceptados por Wireshark de nuevo, econtrandome con la siguiente direccion..http://10.0.0.1:80/igd.xml por supuesto decidi hecharle un ojo usando firefox.
En esa direccion pude encontrar referencia a otros archivos de extension .XML los que me parece son los archivos de configuracion del router un Thomson TG580, o acaso me estoy equivocando?
mis preguntas para terminal este post:
1- no es peligroso que los routers tengan sus archivos de configuracion acesibles atravez de un browser?
2-que se puede lograr accediendo estos archivos?
saludos