Назад | Перейти на главную страницу

Возможный взлом маршрутизатора Cisco?

У нас есть 2-ПОРТОВЫЙ голосовой шлюз Cisco EPC3928AD EuroDocsis 3.0 от нашего интернет-провайдера. Маршрутизатор подключен к брандмауэру (Ubuntu-box, на котором запущены iptables и Wireshark). Наша локальная сеть (10.0.0.1/24) находится за пределами межсетевого экрана. К роутеру не подключено никакое другое оборудование. WIFI роутера отключен.

Несколько дней назад мы заметили проблемы при получении почты или просмотре. Соединение стало медленнее, а иногда у нас вообще нет соединения. Такое поведение кажется случайным и происходит в нерегулярные периоды времени (примерно 1–30 минут). Это затрагивает все оборудование в локальной сети. Некоторые сервисы, такие как Skype, не затронуты.

Интернет-провайдер проверил маршрутизатор и подключение к остальной части WAN. Не обнаружили никаких проблем ни с самим модемом, ни с уровнем сигнала, ни с кабелем. Они также установили мониторинг сегмента WAN, в котором работает модем и который работал в течение нескольких дней без каких-либо проблем.

В нашей локальной сети нет DHCP. Еще у нас был отключен DHCP в модеме. Сетевой адаптер на брандмауэре, обращенном к глобальной сети, был настроен на 192.168.0.201. Хотя наша локальная сеть имеет статические адреса, а конфигурации DNS на каждой сетевой карте настроены на рекомендованные провайдером DNS, они сказали нам, что активация DHCP в маршрутизаторе «иногда помогает» ...

Мы приступили к активации DHCP с начальным адресом 192.168.0.201 и диапазоном 1. Мы также зарезервировали 192.168.0.201 для MAC сетевого адаптера, обращенного к модему. То, что произошло дальше, нас озадачило: в списке «Preassigned DHCP IP Addresses» маршрутизатора неизвестный MAC, 00: 11: e6: de: ad: 07 (00: 11: e6 принадлежит Scientific Atlanta, части Cisco), занимал 192.168.0.201. Более того, в «Сводке подключенных устройств» маршрутизатора отображался тот же MAC-адрес, но на этот раз с IP-адресом (10.0.0.74) в локальной сети!

Мы перезапустили роутер, но безуспешно. Тот же неизвестный MAC-адрес снова появился, на этот раз с адресом LAN (10.0.0.2), уже используемым рабочей станцией в LAN. Блокирование MAC в IP-таблицах привело к тому, что MAC исчез из «Сводки подключенных устройств», но по-прежнему находится в списке «Предварительно назначенные IP-адреса DHCP». Мы установили IP-диапазон равным 2, поэтому теперь он занимает 192.168.0.202 вместо 192.168.0.201.

Перезагрузка роутера или отключение от брандмауэра не помогает. Неизвестный MAC продолжает появляться. Периодические проблемы с подключением сохраняются. Что происходит? Это какой-то взлом? Любой вклад будет очень признателен.

То же самое произошло со мной, с тем же роутером и именно тот же MAC-адрес (00: 11: e6: de: ad: 07). После отключения электроэнергии в моей сети появился сервер DLNS с IP-адресом, заканчивающимся на 249 (с именем BRCM-DMS: 249). Я решил включить и отключить медиа-сервер на Совместное использование и хранение. Через некоторое время пропали IP и сетевой сервер ...