ARP/Ethernet tráfico sospechoso desde puerta de enlace en LAN

JDD2 · ‎21-10-2022

Hola:

Hace unas semanas que contraté el servicio de fibra y me realizaron la instalación en mi casa. La red es pequeña, con menos de 10 equipos conectados en total. Desde el punto de vista de la experiencia de usuario todo parece funcionar correctamente, nada notable fuera de lo normal.

Sin embargo, hoy realicé algunas comprobaciones, en concreto una captura con Wireshark desde una de las máquinas que tengo conectadas (por WiFi) y he observado algo de tráfico sospechoso, parte del cual se puede observar en las capturas que adjunto.

La fuente de los paquetes es siempre el router, he comprobado la MAC y coincide. Puntos a notar:

Las peticiones ARP se suceden hasta 192.168.1.255 y luego comienzan de nuevo en 192.168.1.2, continuamente a una velocidad de alrededor de 10 peticiones por segundo. Es decir, el router está continuamente escaneando por ARP el rango completo de direcciones privadas. Aparentemente, esto continua eternamente. Pienso que esto no es comportamiento normal, ¿cierto? ¿Puede ser simplemente una "característica" del router?
Como se puede observar, hay un patrón en las peticiones. Dos peticiones por IP, en grupos de dos, una de 56 bytes, otra de 60 bytes. En las de 60 bytes Wireshark informa ("expert info") de un evento de seguridad de seguridad "note": "Expert Info (Note/Protocol): Didn't find padding of zeros, and an undecoded trailer exists. There may be padding of non-zeros.".

¿A qué se debe este comportamiento?

Técnico-Movistar · ‎21-10-2022

Hola @JDD2 y bienvenid@ a Comunidad Movistar.

Para que podamos revisar tu conexión, envíanos a través de mensaje privado los siguientes datos:

- Número de teléfono fijo

- Nombre, apellidos y NIF de la persona titular la línea.

- -Dirección completa donde está instalado (provincia, población, calle y nº)

- Teléfono y persona de contacto, por si fuera necesario.

Para enviar mensaje privado, coloca el cursor sobre el nombre de nuestro usuario "Técnico Movistar" y ahí te aparecerá la opción de mensaje privado.

Un saludo.

Carmen

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Técnico-Movistar · ‎23-10-2022

Buenas tardes @JDD2,

Retomamos el contacto contigo al no disponer de respuesta a nuestro contacto previo. por favor, si sigues necesitando de nuestra ayuda con la consulta que nos planteabas, cuando puedas, necesitamos que nos remitas la información solicitada en el contacto anterior.

A fin de que puedas enviar los datos de forma segura pulsa en "Técnico-Movistar" en esta conversación para generar el mensaje privado. Verás como efectuarlo en este enlace.

Quedamos atentos a la llegada de los datos.

Muchas gracias, un saludo

Irene

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Theliel · ‎24-10-2022

Buenas @JDD2

El protocolo ARP es esencial para el descubrimiento tanto de dispositivos como de las direcciones MAC, es digamos el protocolo de traducción MAC<->IP, a nivel físico el Router requiere conocer la MAC del dispositivo.

Este comportamiento es normal? Que el Router envíe peticiones ARP no es raro, es algo totalmente normal. Ahora bien, que se suceda de forma indefinida y constantemente no lo es. El Router debería de enviar peticiones ARP sólo cuando un dispositivo nuevo se añade a la red, o cuando la caché ARP de dicho dispositivo se ha perdido o está a punto de caducar y quiere conocer el estado.

Si es algo de tal frecuencia, hay varias "características" que podrían explicarlo, independientemente de un fallo en la firmware. Ya en el pasado tuvimos un fallo en el software que provocaba un bombardeo continuado de paquetes ARP y puse como solucionarlo, pero no creo que sea en este caso el problema.

Por lo que comentas, que intenta inspeccionar cada dispositivo, yo diría que es el mapa de red del Router, o de la aplicación, el que lo ocasiona. Si en ese momento tenías la interfaz del Router puesta, podría ser que el código de la página lo lanzase.

Otra opción sería que fuese debido a la aplicación, que forzase una actualización de los dispositivos conectados y por ello se quedase en "bucle",

En el peor de los casos, podría estar provocándolo alejandra, con el mismo fin, mantener un listado actualizado de dispositivos.

Y por último, como digo, un mal comportamiento de la firmware.

Que Marca/Modelo tienes? El principal problema en realidad no es esas indagaciones ARP, sino que si fuese realmente continuado y no dependiese de lo comentado anteriormente, podría freír la batería de los dispositivos conectados por WIFI enormemente.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

JDD2 · ‎24-10-2022

Hola:

Estos datos los proporcioné a uno de sus agentes cuando llamé por teléfono a propósito de la misma cuestión hace un par de días. Me dijeron que todo estaba correcto.

Sin embargo, no me convenció mucho la respuesta y el propio agente me recomendó publicar aquí estos datos para ver si me daban más información en una respuesta más técnica.

Saludos.

JDD2 · ‎24-10-2022

Hola:

Gracias por tu mensaje. Añado algunos datos/cuestiones.

- Mi router es nuevo, me lo instalaron hace un par de semanas, de marca Askey. El modelo concreto podría mirarlo si es necesario.

- Efectivamente el comportamiento parece constante. Realicé un par de capturas más aleatoriamente y vi el mismo tipo de tráfico.

- ¿A qué te refieres exactamente cuando dices “tenías la interfaz del router puesta”? ¿La interfaz de administración? Por otro lado, el router tiene cuatro o cinco interfaces Ethernet y otras tantas wifi. De las wifi solo dos están activadas.

- Cuando dices que se debe “a la aplicación “, ¿te refieres a la aplicación de captura, es decir, Wireshark? Si te refieres a esto, me extrañaría bastante, he utilizado Wireshark en numerosas ocasiones y no recuerdo haber observado este comportamiento.

- En cuanto a “Alejandra”, creo que el técnico de telefónica con el que hable también lo mencionó. ¿Podrías desarrollar esto un poco? ¿Cómo funciona Alejandra, como desactivarla o corregir este comportamiento?

Efectivamente, independientemente del origen de los paquetes (que quiero conocer) parece una carga innecesaria para la red.

Saludos.

Theliel · ‎24-10-2022

Buenas @JDD2

-Hay actualmente dos modelos de Askey, uno de ellos lo tengo muy muy revisado, el otro menos

-Con la interfaz me refiero a la interfaz del Router abierta, no a Wireshark. Con la interfaz web abierta del Router, este podría estar realizando constantemente el escaneo para el mapa de red.

-Con la app me refiero a la app que tiene movistar para el Router para dispositivos portátiles, para gestionar algunos parámetros desde el móvil/tablet

-Alejandra es el portal de gestión remota de los equipos de Movistar. Desde ahí se realiza la telecarga de los datos de usuario en el Router, sirve para la gestión remota por parte de Movistar en caso de ser necesario, se realizan las actualizaciones, se usa como pasarela entre la app y el Router, te permite tb configurar algunas cosillas del Router... etc etc etc. Sacarlo de alejandra implica dos cosas. Primero, deshabilitar en el Router algunos filtros en el Firewall de este para evitar el acceso externo por parte de los servidores de Movistar. Dependiendo del modelo pues se hace de un modo u otro. Esto evita que se use como "servidor". Para evitar que el Router se use como cliente hay que deshabilitar el cliente TR069 del Router, por lo general también se puede deshabilitar desde la interfaz avanzada. En caso de que no tenga el Router expuesto dicha sección de configuración, se puede crear una regla en el firewall del Router para cortar dicho tráfico.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

JDD2 · ‎26-10-2022

Hola:

Gracias por la respuesta. Algunas cosas que puedo añadir:

- El router es el modelo Askey RTF8115VW. ¿Podría alguien verificar si obtienen un comportamiento similar al mío?

- No estaba conectado a la interfaz del router cuando realicé la captura. Ningún dispositivo de la red lo estaba (o al menos yo no lo había conectado).

- La app de dispositivos móviles no la había instalado ni utilizado nunca.

- En cuanto a Alejandra, ¿qué consecuencias podría tener en el servicio y para mi experiencia de usuario desactivarla? ¿Me puedes referir a algún manual/documentación que describa los procedimientos que mencionas sistemáticamente?

Gracias.

Técnico-Movistar · ‎07-11-2022

Hola @JDD2

No hemos recibido tus datos por mensaje privado , los que hayas facilitado a otros compañeros por alguno de otros medios de contacto no podemos verlos.

Nos gustaría conocer si tras la información facilitada por @Theliel (al que agradecemos su colaboración), ¿tienes alguna duda más que te podamos resolver?, quedamos a la espera de tu respuesta.

Por otra parte, si consideras que tu consulta está resuelta, te agradeceríamos que en el hilo que has abierto, pulsases en el botón “Aceptar como solución” del post en el que se te ha resuelto tu caso. Es importante para nosotros que vuestras consultas queden resueltas y para otros usuarios es útil utilizar estas respuestas para sus dudas.

Un saludo

Soraya

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

JDD2 · ‎07-11-2022

Hola:

Aún estoy a la espera de que alguien pueda resolver las últimas cuestiones que he planteado. Mi consulta aún no está resuelta.

Gracias.

Theliel · ‎07-11-2022

Buenas @JDD2

Es complicado saberlo porque la mayoría de usuarios no son pruebas que sepan realizar. De buena gana si tuviese aquí un RTF8115VW te lo podría comprobar en segundos, pero no es el caso, con lo que no te puedo decir si es un comportamiento concreto de la firmware que tiene instalada o es debido a un dispositivo de tu red o a que puede ser debido.

Respecto el acceso de Alejandra, realmente lo que pierdes es potencialmente el poder configurarlo desde allí (cosa que yo desaconsejo), potencialmente impedir que un técnico pueda acceder al Router y evitar actualizaciones o el uso de la app. En cualquier caso siempre se puede resetear para que vuelva a emparejarse.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

Técnico-Movistar · ‎18-11-2022

Buenos días @JDD2,

Agradecemos como siempre a @Theliel su aportación. ¿Te ha quedado alguna duda respecto a la situación que planteabas?.

Un saludo

Victoria

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Técnico-Movistar · ‎20-11-2022

Hola @JDD2.

No hemos recibido más comunicaciones por tu parte, por lo que creemos que no necesitas más ayuda. Por nuestra parte procedemos al cierre de este hilo. Para cualquier duda o consulta, ya sabes dónde encontrarnos.

Un saludo.

Angela.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Soporte Fibra y ADSL

ARP/Ethernet tráfico sospechoso desde puerta de enlace en LAN