网络中的未知 MAC

信息安全 网络 MAC地址
2021-09-08 08:49:40

几天前,我注意到我家路由器的统计页面中有一个未知的 MAC 地址。OUI 查找使思科成为制造商。但是,我的网络中没有这样的设备——实际上,我记下了每个 MAC 地址,我知道。

此设备使用网络中的地址10.137.63.25410.1.0.1/8其中 DHCP 区域为10.0.3.1/24这个 IP 的流量非常小,我的路由器每 5 分钟报告约 74 个字节的数据包(大约,我认为间隔是随机的)。nmap报告主机已关闭,但在过度扫描后 IP 更改,然后返回到第一个。

我发现只有当我的 Win7 笔记本电脑连接到网络时才会出现流量。但是,我找不到任何 Cisco NIC 的迹象。WLAN 和 LAN 适配器是 Intel 和 MSI NIC。Wireshark 在活动 NIC 上侦听时不会记录相关流量。

有没有办法弄清楚发生了什么?

编辑:MAC 是00-05-31-F8-C0-65.

编辑:在玩防火墙时,我不知道是哪个程序导致了这种情况。我有些怀疑,但由于该程序真的很“害羞”,我在某个时候放弃了,并从干净的备份中重新安装了 Windows 。任何想法,如何诊断这些问题,仍然非常感谢。

2个回答

也许试试这个。隔离网络,只连接笔记本电脑和产生相关统计数据的路由器。如果关注的流量是通过 WIFI,断开所有网线。如果跨线,请关闭两台设备上的 WIFI 并观察它是否重新启用。

使用过滤器运行 Wireshark,该过滤器仅记录与通常预期的 MAC 均不匹配的项目。让它运行查看模式所需的持续时间。如果您无法从中弄清楚,请尝试更换 NIC 和不同的路由器。

它可以是网卡内部的网络后门。我从未见过这种类型的 Wifi 芯片,但它肯定存在于以太网 NIC 上,允许嗅探流量(重复流量)、发送数据包,甚至隐藏(路由)流量,在 NIC 的芯片内放置一个过滤器,这样主机就不会甚至可以看到过滤的传入/传出流量。这种后门一般限制在下载/上传几KB/秒。但这足以接收来自黑客的命令并发回少量数据。

其它你可能感兴趣的问题
上一篇错误运行命令外壳:TimeoutError 操作超时 下一篇我如何训练机器学习系统来识别代码中的漏洞?