Autor
1. La primera cosa que note es que hay una cantidad exagerada de pings que salen del módem hacia los dispositivos que están conectados en la red interna, es un ping sostenido y bueno quiziera pensar que esto podría ser el DHCP o algo para validar que el equipo esté conectado pero bien lo dice Zero Trust no confiar en nada ni en nadie. Esto lo noté haciendo una captura de tráfico en mi red y por medio del IDS.
2. La segunda cosa que note hace uso de las herramientas del módem en particular el ping para hacer varias solicitudes al dominio www.netflix.com y google.com. Al parecer los valores de tamaño y demás están por default pero es una cantidad impresionante de pings hechos principalmente a Netflix que me alarma bastante. Esto lo detecte cuando revisaba los logs del usuario en el router y vi estas solicitudes de ping. Después valide directamente en la herramienta de ping en el módem, intente modificar el dominio borrarlo pero vuelve a aparecer.
2.1 ¿por qué Netflix
?He cambiado contraseñas, revisado usuarios tanto del acceso web como del acceso por telnet, todo parece estar bien (a excepción del acceso con el que cuenta mi ISP el cual no estoy de acuerdo que lo tenga pero creo que ese sería otro tema de discusión) .
Otra cosa que quiero aclarar es que en los logs del módem no se ve login de un usuario antes de estás peticiones y esto no tiene mucho que comenzó a suceder.
Espero lo puedan validar en sus propias redes y quien sepa de esto nos pueda guiar a saber si esto es normal o somos parte de una botnet
En línea
