Hola: Hace unas semanas que contraté el servicio de fibra y me realizaron la instalación en mi casa. La red es pequeña, con menos de 10 equipos conectados en total. Desde el punto de vista de la experiencia de usuario todo parece funcionar correctamente, nada notable fuera de lo normal. Sin embargo, hoy realicé algunas comprobaciones, en concreto una captura con Wireshark desde una de las máquinas que tengo conectadas (por WiFi) y he observado algo de tráfico sospechoso, parte del cual se puede observar en las capturas que adjunto. La fuente de los paquetes es siempre el router, he comprobado la MAC y coincide. Puntos a notar:Las peticiones ARP se suceden hasta 192.168.1.255 y luego comienzan de nuevo en 192.168.1.2, continuamente a una velocidad de alrededor de 10 peticiones por segundo. Es decir, el router está continuamente escaneando por ARP el rango completo de direcciones privadas. Aparentemente, esto continua eternamente. Pienso que esto no es comportamiento normal, ¿cierto? ¿Puede ser simplemente una "característica" del router?Como se puede observar, hay un patrón en las peticiones. Dos peticiones por IP, en grupos de dos, una de 56 bytes, otra de 60 bytes. En las de 60 bytes Wireshark informa ("expert info") de un evento de seguridad de seguridad "note": "Expert Info (Note/Protocol): Didn't find padding of zeros, and an undecoded trailer exists. There may be padding of non-zeros.".¿A qué se debe este comportamiento?

Hola JDD2 y bienvenid@ a Comunidad Movistar. Para que podamos revisar tu conexión, envíanos a través de mensaje privado los siguientes datos: - Número de teléfono fijo - Nombre, apellidos y NIF de la persona titular la línea. - -Dirección completa donde está instalado (provincia, población, calle y nº) - Teléfono y persona de contacto, por si fuera necesario. Para enviar mensaje privado, coloca el cursor sobre el nombre de nuestro usuario "Técnico Movistar" y ahí te aparecerá la opción de mensaje privado. Un saludo. Carmen

Buenas tardes JDD2, Retomamos el contacto contigo al no disponer de respuesta a nuestro contacto previo. por favor, si sigues necesitando de nuestra ayuda con la consulta que nos planteabas, cuando puedas, necesitamos que nos remitas la información solicitada en el contacto anterior. A fin de que puedas enviar los datos de forma segura pulsa en "Técnico-Movistar" en esta conversación para generar el mensaje privado. Verás como efectuarlo en este enlace. Quedamos atentos a la llegada de los datos. Muchas gracias, un saludo Irene

Buenas JDD2 El protocolo ARP es esencial para el descubrimiento tanto de dispositivos como de las direcciones MAC, es digamos el protocolo de traducción MAC<->IP, a nivel físico el Router requiere conocer la MAC del dispositivo. Este comportamiento es normal? Que el Router envíe peticiones ARP no es raro, es algo totalmente normal. Ahora bien, que se suceda de forma indefinida y constantemente no lo es. El Router debería de enviar peticiones ARP sólo cuando un dispositivo nuevo se añade a la red, o cuando la caché ARP de dicho dispositivo se ha perdido o está a punto de caducar y quiere conocer el estado. Si es algo de tal frecuencia, hay varias "características" que podrían explicarlo, independientemente de un fallo en la firmware. Ya en el pasado tuvimos un fallo en el software que provocaba un bombardeo continuado de paquetes ARP y puse como solucionarlo, pero no creo que sea en este caso el problema. Por lo que comentas, que intenta inspeccionar cada dispositivo, yo diría que es el mapa de red del Router, o de la aplicación, el que lo ocasiona. Si en ese momento tenías la interfaz del Router puesta, podría ser que el código de la página lo lanzase. Otra opción sería que fuese debido a la aplicación, que forzase una actualización de los dispositivos conectados y por ello se quedase en "bucle", En el peor de los casos, podría estar provocándolo alejandra, con el mismo fin, mantener un listado actualizado de dispositivos. Y por último, como digo, un mal comportamiento de la firmware. Que Marca/Modelo tienes? El principal problema en realidad no es esas indagaciones ARP, sino que si fuese realmente continuado y no dependiese de lo comentado anteriormente, podría freír la batería de los dispositivos conectados por WIFI enormemente.

Hola: Estos datos los proporcioné a uno de sus agentes cuando llamé por teléfono a propósito de la misma cuestión hace un par de días. Me dijeron que todo estaba correcto. Sin embargo, no me convenció mucho la respuesta y el propio agente me recomendó publicar aquí estos datos para ver si me daban más información en una respuesta más técnica. Saludos.

Hola: Gracias por tu mensaje. Añado algunos datos/cuestiones. - Mi router es nuevo, me lo instalaron hace un par de semanas, de marca Askey. El modelo concreto podría mirarlo si es necesario. - Efectivamente el comportamiento parece constante. Realicé un par de capturas más aleatoriamente y vi el mismo tipo de tráfico. - ¿A qué te refieres exactamente cuando dices “tenías la interfaz del router puesta”? ¿La interfaz de administración? Por otro lado, el router tiene cuatro o cinco interfaces Ethernet y otras tantas wifi. De las wifi solo dos están activadas. - Cuando dices que se debe “a la aplicación “, ¿te refieres a la aplicación de captura, es decir, Wireshark? Si te refieres a esto, me extrañaría bastante, he utilizado Wireshark en numerosas ocasiones y no recuerdo haber observado este comportamiento. - En cuanto a “Alejandra”, creo que el técnico de telefónica con el que hable también lo mencionó. ¿Podrías desarrollar esto un poco? ¿Cómo funciona Alejandra, como desactivarla o corregir este comportamiento? Efectivamente, independientemente del origen de los paquetes (que quiero conocer) parece una carga innecesaria para la red. Saludos.

ARP/Ethernet tráfico sospechoso desde puerta de enlace en LAN

12 Respuestas

Técnico-Movistar
Responsable Técnico
23-10-2022
Buenas tardes JDD2,

Retomamos el contacto contigo al no disponer de respuesta a nuestro contacto previo. por favor, si sigues necesitando de nuestra ayuda con la consulta que nos planteabas, cuando puedas, necesitamos que nos remitas la información solicitada en el contacto anterior.

A fin de que puedas enviar los datos de forma segura pulsa en "Técnico-Movistar" en esta conversación para generar el mensaje privado. Verás como efectuarlo en este enlace.

Quedamos atentos a la llegada de los datos.

Muchas gracias, un saludo

Irene
Técnico-Movistar
Responsable Técnico
21-10-2022
Hola JDD2 y bienvenid@ a Comunidad Movistar.

Para que podamos revisar tu conexión, envíanos a través de mensaje privado los siguientes datos:

- Número de teléfono fijo

- Nombre, apellidos y NIF de la persona titular la línea.

- -Dirección completa donde está instalado (provincia, población, calle y nº)

- Teléfono y persona de contacto, por si fuera necesario.

Para enviar mensaje privado, coloca el cursor sobre el nombre de nuestro usuario "Técnico Movistar" y ahí te aparecerá la opción de mensaje privado.

Un saludo.

Carmen

Foro

ARP/Ethernet tráfico sospechoso desde puerta de enlace en LAN

12 Respuestas

Contenido relacionado

Trafico sospechoso

Mensaje sospechoso

Llamada sospechosa para cambio de router