Question Mon Mac essayant de se connecter à une machine d'intrusion possible, qui n'est plus sur le réseau


Je viens de poser une question Je pense que quelqu'un d'autre a accès à mon réseau sans fil. Quelle prochaine. J'ai changé la sécurité sans fil en WPA2, modifié le mot de passe, désactivé le partage de fichiers, etc., tel que suggéré dans les réponses. J'ai même redémarré mon modem pour que les baux DCHP expirent. (En tant qu'ancien modem, il n'y a pas d'option, au moins à partir de ce que l'on peut voir, pour réinitialiser les baux)

Maintenant, par curiosité j'ai téléchargé Wireshark pour voir ce qui se passe réellement sur mon réseau.

Je vois toujours 192.168.1.6 faire quelque chose sur le réseau. Pire encore, je vois ma machine, 192.168.1.2 lui parler!
Wireshark

À présent,

  1. Comment est-ce possible? Les baux DCHP du modem indiquent qu'il n'y a pas de 192.168.1.6.
  2. Serait-ce que mon Mac se souvient en quelque sorte d'une ancienne adresse et essaie de s'y connecter? Alors pourquoi y a-t-il une réponse?
  3. Pourquoi mon Mac se connecterait-il du tout? Le partage de fichiers est désactivé. Le partage Web est désactivé. Est-ce quelque chose à craindre ou est-ce que je panique sans raison?

4
2017-08-28 10:46


origine


@Arjan, oui j'ai plusieurs ordinateurs à la maison. À mon point, mon Mac est allumé. La machine Windows dort depuis un certain temps. Son IP était 192.168.1.5 quand il était actif la dernière fois. Mais j'ai redémarré mon modem pour que les baux DCHP expirent immédiatement (faux?). La boîte Windows utilise DCHP. - Nivas


Réponses:


  1. Comment est-ce possible? Les baux DCHP du modem indiquent qu'il n'y a pas de   192.168.1.6.

DHCP attribue simplement des adresses IP. Il est complètement conseillé et tout hôte peut choisir sa propre adresse avec ou sans DHCP.

2. Est-ce que mon Mac se souvient d'une ancienne adresse et tente de s'y connecter? Alors pourquoi y a-t-il une réponse?   3. Pourquoi mon Mac se connecterait-il du tout? Le partage de fichiers est désactivé. Le partage Web est désactivé. Est-ce quelque chose à craindre ou est-ce que je panique sans raison?

D'après ce que nous pouvons voir dans cette partie, votre Mac lance une connexion TCP et veut parler NetBIOS. NetBIOS est souvent utilisé pour la résolution de noms, pas nécessairement le partage de fichiers. Votre Mac a en effet mémorisé le point d'extrémité distant NetBIOS et s'y connecte maintenant. 192.168.1.6 parle de NetBIOS, mais refuse la connexion. Ce trafic en soi n'est pas un problème.

machine d'intrusion possible

Tout d'abord, recherchez l'adresse IPv4 du routeur. Il s'agit probablement de 192.168.1.1, mais si .6, le mystère est résolu. Désactivez ensuite temporairement le WLAN et connectez-vous par câble. Assurez-vous qu'aucun autre ordinateur n'est connecté, ni par câble, ni par WLAN (le voyant WiFi doit être éteint). Ensuite, définissez un nouveau mot de passe WPA2, d'abord sur le routeur, puis sur toutes les machines. Vérifiez les adresses IP sur toutes les machines connectées au réseau pour vous assurer que 192.168.1.6 n'est pas un ancien serveur de fichiers dans votre placard. Si vous pouvez toujours détecter l'intrus (et je parie que vous rencontrez une mauvaise configuration, pas un intrus - un intrus averti ne parlerait probablement pas de NetBIOS), posez une nouvelle question et assurez-vous que vos ordinateurs ne sont pas compromis.


7
2017-08-28 10:58





Si quelqu'un s'est connecté à votre système, il leur est possible de définir manuellement l'adresse IP qu'ils préfèrent contourner le serveur DHCP.

Comme il y a du trafic vers et depuis l'adresse .6, il y a évidemment quelque chose. Etes-vous sûr qu'il n'y a rien d'autre connecté à votre réseau, à un NAS ou à un autre périphérique connecté au réseau tel qu'un téléviseur ou éventuellement un enregistreur vidéo numérique, une console de jeux, un ipod, un iphone, etc.

Je ne suis pas sûr de savoir comment bonjour apparaîtrait dans WireShark, mais il pourrait s'agir du partage des médias de iTunes.


2
2017-08-28 10:48



J'ai changé mon protocole sans fil et redémarré mon modem. Est-il encore possible que quelqu'un soit encore connecté au réseau? - Nivas
Cela semble improbable si cela s'est produit immédiatement, vous n'avez pas de périphériques câblés dans le réseau? - Col
Non. Pas de câblage dans les appareils. - Nivas
Je ne suis pas sûr que le MAC supporte cela, mais essayez arp -a 192.168.1.6 qui devrait retourner l'adresse mac du périphérique, puis bloquer cette adresse mac du routeur. - Col
Sur un Mac: soit arp -a pour afficher une liste complète des adresses MAC, ou arp 192.168.1.6 pour afficher uniquement cette entrée. - Arjan