Hmm... Taka dziwna sprawa... Może komuś z Was przyjdzie coś do głowy...
Co jakiś czas firewall w moim stacjonarnym komputerze sygnalizuje, że ktoś w sieci generuje szkodliwy ruch i pyta czy ma go zablokować. Zazwyczaj takie komunikaty olewam, bo co w mojej sieci może coś szkodliwego generować? I zezwalam na ten ruch... Ale ostatnio mnie tknęło i sprawdziłem dokładnie. Generalnie wszystkie urządzenia w domu dostają konfigurację z DHCP pracującego na NASie Synology. I cały nasz domowy sprzęt ma porobione rezerwacje i zawsze dostaje ten sam adres. Czy to stacjonarka, laptop, telefon, mikrofalówka, cokolwiek... Natomiast jest pula do rozdania dla urządzeń z zewnątrz z dzierżawą wygasającą po krótkim czasie. Ot, ktoś znajomy przyjdzie i będzie chciał z neta skorzystać. I jest to inna pula niż dla naszych urządzeń. Każde to stałe urządzenie w sieci domowej jest na serwerze DHCP opisane przeze mnie. Czyli widzę MAC, IP i mój włąsny opis, np "telewizor_salon" czy coś w tym rodzaju. Bo normalnie, jak urządzenie zgłasza się do sieci, to pod swoją nazwą hosta zapisaną gdzieś w swojej konfiguracji. I tak np. urządzenie z androidem zgłaszają mi się zazwyczaj jako Android_821278961876, co mi raczej mało mówi. Dlatego zawsze zmieniam te opisy na własne.
I teraz do sedna. iPad syna standardowo zgłasza się do sieci jako iPad(Franek), ja sobie tę nazwę po stronie DHCP zmieniłem na swoją, dajmy na to ipad_franek, żeby było jednolicie z pozostałymi nazwami. Ten iPad ma swoje stałe IP przydzielane po adresie MAC, który jak każdy adres MAC składa się z 6 segmentów oddzielonych np dwukropkiem (00:00:00:00:00:00).
Adres IP urządzenia generującego szkodliwy ruch jest z puli tej swobodnej, dla gości. Patrzę sobie na serwerze DHCP i widzę, że pod tym adresem (wskazanym przez firewalla) widnieje urządzenie o nazwie iPad(Franek), czyli jakby iPad syna, ale nie pod nazwą, którą ja mu ręcznie nadałem, tylko tą genericową, standardową, wynikającą z nazwy urządzenia. I teraz ciekawe. MAC jest w połowie zgadzający się - pierwsze 3 segmenty są inne, kolejne 3 segmenty (czyli 3 od końca) są takie same jak w urządzeniu syna. A oprócz tego, sam iPad normalnie sobie funkcjonuje, ma aktywną dzierżawę, dostaje prawidłowy adres, taki jaki na stałe mu przypisałem, z resztą po stronie samego iPada w ustawieniach połączenia wszystko się zgadza. To skąd drugi iPad? Coś się pod niego podszyło. Coś musiało mieć dostęp do samego urządzenia, żeby podczytać, jaka w konfiguracji urządzenia widniej nazwa i z taką nazwą podpina się do sieci. Musi też w jakiś sposób podczytać MAC tego urządzenia, żeby spreparować inny MAC, w połowie się zgadzający i tym z adresem sprzętowym zgłosić się po IP. Aaa, no i jakoś musiał się dostać do samej sieci. Po kablu raczej nie, bo musiałby się gdzieś wtyknąć, ale do WiFi w jakiś sposób to coś dostęp uzyskało. Czyli obstawiam, że to coś siedzi w samym iPadzie... Dodałem filtrowanie adresów MAC w routerze, żeby tego MACa nie obsługiwało, zobaczymy. Niestety nie mogę zablokować konkretnego MACa na DHCP, żeby nie przydzielało mu IP. Chyba, muszę doczytać gdzieś na sąsiednim forum.
Ktoś pomoże mi to rozwikłać? Wszystko wskazuje na to, że coś siedzi w urządzeniu. Ale co? I jak to z niego wyjąć?
Szukaj
Skontaktuj się z nami