No hace mucho que me cambié a mi ISP por TotalPlay en México pero he notado un tráfico bastante inusual proveniente del módem de internet y también hacia internet. El objetivo de este post es saber si alguien sabe si el comportamiento es normal y que lo pueda validar si es que tienen el mismo ISP.

1. La primera cosa que note es que hay una cantidad exagerada de pings que salen del módem hacia los dispositivos que están conectados en la red interna, es un ping sostenido y bueno quiziera pensar que esto podría ser el DHCP o algo para validar que el equipo esté conectado pero bien lo dice Zero Trust no confiar en nada ni en nadie. Esto lo noté haciendo una captura de tráfico en mi red y por medio del IDS.

2. La segunda cosa que note hace uso de las herramientas del módem en particular el ping para hacer varias solicitudes al dominio www.netflix.com y google.com. Al parecer los valores de tamaño y demás están por default pero es una cantidad impresionante de pings hechos principalmente a Netflix que me alarma bastante. Esto lo detecte cuando revisaba los logs del usuario en el router y vi estas solicitudes de ping. Después valide directamente en la herramienta de ping en el módem, intente modificar el dominio borrarlo pero vuelve a aparecer.

2.1 ¿por qué Netflix  ?

He cambiado contraseñas, revisado usuarios tanto del acceso web como del acceso por telnet, todo parece estar bien (a excepción del acceso con el que cuenta mi ISP el cual no estoy de acuerdo que lo tenga pero creo que ese sería otro tema de discusión) .

Otra cosa que quiero aclarar es que en los logs del módem no se ve login de un usuario antes de estás peticiones y esto no tiene mucho que comenzó a suceder.

Espero lo puedan validar en sus propias redes y quien sepa de esto nos pueda guiar a saber si esto es normal o somos parte de una botnet 

Hola, podrías darnos más detalles específicos? Por ejemplo nos comentas que la cantidad de pings son impresionantes, pero de cuántas peticiones estamos hablando y en qué horarios, días?.

Lo que podes hacer, es instalar un buen Firewall como Comodo Firewall:

https://personalfirewall.comodo.com/


Saludos

Pues hablamos de 30-40 pings por minuto hacia los servicios de internet (Netflix y Google) no tiene un horario son durante todo el día a todas horas. El ping desde el módem hacia los dispositivos internos es permanente.

Sobre el firewall estoy optando por invertir en seguridad física para toda mi red, esto podrá servirme para el tráfico que entra a mi red, pero sigue preocupándome el tráfico que está saliendo del módem a internet.