我们的ISP提供思科EPC3928AD EuroDocsis 3.0双端口语音网关。 路由器连接到防火墙(运行iptables和Wireshark的Ubuntu-box)。 我们的LAN(10.0.0.1/24)超出了防火墙。 没有其他设备连接到路由器。 路由器的WIFI已被禁用。
几天前,我们发现在获取邮件或浏览时遇到了问题。 连接开始变慢,有时我们根本没有连接。 这种行为似乎随机发生,并在不规则的时间段(约1-30分钟)。 LAN上的所有设备都受到影响。 Skype等特定服务不受影响。
ISP对路由器进行了检查,并与其他WAN进行了连接。 他们没有发现问题,既没有调制解调器本身,也没有信号强度或电缆。 他们还设置了监控调制解调器所在的广域网段,并且运行了几天而没有发现任何问题。
我们的局域网没有DHCP。 我们也在调制解调器中closures了DHCP。 面向广域网的防火墙上的NIC被设置为192.168.0.201。 尽pipe我们的局域网具有静态地址,并且每个网卡上的DNSconfiguration都设置为ISP推荐的DNS,但他们告诉我们在路由器中激活DHCP“有时会有所帮助”。
我们继续激活DHCP,起始地址为192.168.0.201,范围为1.我们还为面向调制解调器的网卡的MAC保留了192.168.0.201。 接下来发生的事情让我们感到困惑:在路由器的“预分配的DHCP IP地址”中,列出了一个未知的MAC地址:00:11:e6:de:ad:07(00:11:e6属于Cisco的一部分) 192.168.0.201。 而且,在路由器的“连接设备摘要”中,出现了相同的MAC,但是这次在局域网上有一个IP(10.0.0.74)!
我们重新启动了路由器,但无济于事。 同一个未知的MAC再次出现,这次局域网上的工作站已经在使用局域网地址(10.0.0.2)。 阻止IP表中的MAC使得MAC从“连接的设备摘要”中消失,但仍处于“预分配的DHCP IP地址”列表中。 我们已经将IP范围设置为2,所以它现在占用192.168.0.202而不是192.168.0.201。
重新启动路由器或从防火墙断开连接不起作用。 未知的MAC不断重现。 连接的间歇性问题依然存在。 到底是怎么回事? 这是一种黑客攻击吗? 任何input将不胜感激。
同样的路由器和完全相同的MAC地址(00:11:e6:de:ad:07)也发生在我身上。 停电后,我的networking上出现IP终结249(名为BRCM-DMS:249)的DLNS服务器。 我解决了启用和禁用共享和存储上的媒体服务器。 过了一会儿,IP和networking服务器消失了…