ciao,
vorrei chiedere un consiglio o un semplice parere su una situazione che trovo parecchio strana:
un cliente ha una lan composta da un router Pirelli collegato a linea adsl, a questo è collegato tramite cavo un router Digicom che ha uno swich interno e un wifi.
il tutto ha sempre funzionato bene.
ultimamente ha avuto qualche problema, la settimana scorsa ho dato un occhiata alla rete ed ho riscontrato nulla di particolarmente strano se non che con la wifi avevo parecchi problemi a connetermi in quanto nonostante avessi una ricezione ottimale il pc tendeva a scartare il segnale piu' alto a favore di un debolissimo segnale di un d-link, e non c'era verso di fargli cambiare idea! poi quando tentavo di forzarlo ad andare nella rete corretta (quella del cliente) d'improvviso spariva il segnale, allora rebot al digicom e la d-link spariva, mi connettevo alla rete del cliente e dopo poco riappariva il d-link e il digicom spariva di nuovo e il pc tentava di nuovo di connettersi al segnale basso(sempre d-link).
tra le tante prove ho dato un occhiata dalla pagina di configurazione del digicom ed ho notato i diversi mac, nulla di insolito.
oggi :
la d-link sempre presente con un segnale molto debole, mentre il segnale wifi del digicom non esisteva piu'.
connettendosi al digicom via cavo con dhcp appariva la scritta "conflitto di IP" nonostante fosse l'unico a connettersi
ho controllato i vari mac del digicom e la situazione che mi si è presentata era la seguente :
internet: (presumo inteso come Pirelli) mac 00:11:22:33:44:55 decisamente diverso dalla settimana scorsa!
lan: mac 00:11:22:33:44:56 idem (diverso)
wifi: mac corretto...
ho controllato i log :
incoming : nulla di anormale (almeno hai miei occhi da non hacker!)
outcoming : l'indirizzo di un server web (al momento in internet e rispondente ad una caterva di ping) che come home ha la classica pagina di prova con su scritto solo "ok" che il cliente afferma di non avere mai richiamato.
ora, partendo da questi presupposti cosa potrebbe essere successo?
e possibile che qualche maleintenzionato stia cercando di traslare tutto il traffico attraverso un suo host per monitorarlo?
perchè quella pagina di prova in outcoming ma in incoming nulla? e possibile che un hacker che fa tutto questo, cancella le tracce di incoming e lascia tutte le altre?
perchè dovrebbe essere cosi' stupido da mettere mac che saltano cosi' tanto agli occhi?
quante possibilità ho che il cliente si voglia semplicemente burlare di me? questa ultima cosa spiegerebbe diverse cose, a partire dal segnale che sparisce e che torna (agiva principalmente lui sul router) fino alla modifica dei mac passando per il fatto che non vi è nessuna traccia proveniente dall'esterno ma tante dall'interno ed aggiungendo che io non vedevo effettivamente se realmente non vi fossero altri pc in connessione che potessero generare conflitti di IP.
lo ammetto l'ultima e da cervelloticima anche le altre non sono da meno! e poi non so cosa pensare...
HELP
Rispondi quotando
