elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Tráfico sospechoso desde el router de ISP
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Tráfico sospechoso desde el router de ISP  (Leído 1,966 veces)
small

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Tráfico sospechoso desde el router de ISP
« en: 3 Octubre 2024, 05:14 am »

No hace mucho que me cambié a mi ISP por TotalPlay en México pero he notado un tráfico bastante inusual proveniente del módem de internet y también hacia internet. El objetivo de este post es saber si alguien sabe si el comportamiento es normal y que lo pueda validar si es que tienen el mismo ISP.

1. La primera cosa que note es que hay una cantidad exagerada de pings que salen del módem hacia los dispositivos que están conectados en la red interna, es un ping sostenido y bueno quiziera pensar que esto podría ser el DHCP o algo para validar que el equipo esté conectado pero bien lo dice Zero Trust no confiar en nada ni en nadie. Esto lo noté haciendo una captura de tráfico en mi red y por medio del IDS.

2. La segunda cosa que note hace uso de las herramientas del módem en particular el ping para hacer varias solicitudes al dominio www.netflix.com y google.com. Al parecer los valores de tamaño y demás están por default pero es una cantidad impresionante de pings hechos principalmente a Netflix que me alarma bastante. Esto lo detecte cuando revisaba los logs del usuario en el router y vi estas solicitudes de ping. Después valide directamente en la herramienta de ping en el módem, intente modificar el dominio borrarlo pero vuelve a aparecer.

2.1 ¿por qué Netflix  :D?

He cambiado contraseñas, revisado usuarios tanto del acceso web como del acceso por telnet, todo parece estar bien (a excepción del acceso con el que cuenta mi ISP el cual no estoy de acuerdo que lo tenga pero creo que ese sería otro tema de discusión) .

Otra cosa que quiero aclarar es que en los logs del módem no se ve login de un usuario antes de estás peticiones y esto no tiene mucho que comenzó a suceder.

Espero lo puedan validar en sus propias redes y quien sepa de esto nos pueda guiar a saber si esto es normal o somos parte de una botnet  :P


En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Tráfico sospechoso desde el router de ISP
« Respuesta #1 en: 3 Octubre 2024, 13:06 pm »

Citar
una captura de tráfico en mi red y por medio del IDS.

¿Qué herramientas has utilizado? ¿Wireshack?

¿Qué IDS has utilizado? ¿Suricata?

Puede ser que tu ISP o algún dispositivo haga ping's a google o netflix para ver que la conexión a internet funciona xD un poco cutre, pero sirve.

Netflix es un servicio muy utilizado, aunque tu no lo uses, igual que Google.


En línea

Danielㅤ


Desconectado Desconectado

Mensajes: 1.822


🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: Tráfico sospechoso desde el router de ISP
« Respuesta #2 en: 3 Octubre 2024, 18:53 pm »

Hola, podrías darnos más detalles específicos? Por ejemplo nos comentas que la cantidad de pings son impresionantes, pero de cuántas peticiones estamos hablando y en qué horarios, días?.

Lo que podes hacer, es instalar un buen Firewall como Comodo Firewall:

https://personalfirewall.comodo.com/


Saludos
En línea

small

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Tráfico sospechoso desde el router de ISP
« Respuesta #3 en: 7 Octubre 2024, 06:36 am »

¿Qué herramientas has utilizado? ¿Wireshack?
Correcto

¿Qué IDS has utilizado? ¿Suricata?
No, Snort

Puede ser que tu ISP o algún dispositivo haga ping's a google o netflix para ver que la conexión a internet funciona xD un poco cutre, pero sirve.
Puedo entenderlo para el tráfico que sale del módem a internet, pero y para que a las IP internas también...
Por otro lado la cantidad de pings (aprox 30 o 40 pings por minuto) se me hace exagerada, esto hacia los servicios de internet por qué hacia los equipos en LAN es permanente.


Netflix es un servicio muy utilizado, aunque tu no lo uses, igual que Google.
En línea

small

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Tráfico sospechoso desde el router de ISP
« Respuesta #4 en: 7 Octubre 2024, 06:41 am »

Hola, podrías darnos más detalles específicos? Por ejemplo nos comentas que la cantidad de pings son impresionantes, pero de cuántas peticiones estamos hablando y en qué horarios, días?.

Lo que podes hacer, es instalar un buen Firewall como Comodo Firewall:

https://personalfirewall.comodo.com/


Saludos

Pues hablamos de 30-40 pings por minuto hacia los servicios de internet (Netflix y Google) no tiene un horario son durante todo el día a todas horas. El ping desde el módem hacia los dispositivos internos es permanente.

Sobre el firewall estoy optando por invertir en seguridad física para toda mi red, esto podrá servirme para el tráfico que entra a mi red, pero sigue preocupándome el tráfico que está saliendo del módem a internet.

En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Se puede captar trafico de un router desde fuera de la red local ?
Seguridad
javier234- 1 2,863 Último mensaje 3 Febrero 2012, 13:07 pm
por adastra
Router sospechoso
Seguridad
castlevanialover 3 2,795 Último mensaje 22 Octubre 2013, 01:23 am
por beholdthe
Trafico saliente no solicitado por el puerto 80.. sospechoso
Seguridad
Garfio 2 3,057 Último mensaje 1 Junio 2015, 19:02 pm
por Garfio
Redireccionar trafico desde el router
Hacking Wireless
coveñas1989 0 2,811 Último mensaje 3 Junio 2017, 09:19 am
por coveñas1989
Reedirigir trafico de IPs en router
Redes
manolillo101 4 5,124 Último mensaje 10 Junio 2022, 17:13 pm
por manolillo101
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines