Cita da Emacquafreddy su 6 Dicembre 2023, 19:33

up

Cita da Kris su 6 Dicembre 2023, 20:03

Buonasera, ho controllato i log del mio modem e non sembra esserci nulla di simile, ne in quello di sistema ne in quello di sicurezza.

Cita da Emacquafreddy su 6 Dicembre 2023, 20:16

Capisco, quindi c'è evidentemente qualcuno che mi controlla il traffico internet e che cerca di entrare nel pc. Menomale che ho Kaspersky...

Cita da Emacquafreddy su 16 Dicembre 2023, 16:19

Ho trovato questo con indirizzo IP

kernel: ICMP REDIRECT ATTACK:IN=ppp2 OUT= MAC= SRC=160.202.128.1 DST=mio ip LEN=88 TOS=0x00 PREC=0x00 TTL=50 ID=29896 PROTO=ICMP TYPE=5 CODE=1 GATEWAY=160.202.128.0 [SRC=mio ip DST=85.221.130.24 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=47219 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=1 ]

Che roba è?

Cita da Kris su 16 Dicembre 2023, 17:24

Questa è l'analisi del log:

Questa voce di registro indica un attacco di reindirizzamento ICMP. L'attacco è avvenuto sull'interfaccia ppp2 e l'interfaccia in uscita non è specificata nel log. Anche l'indirizzo MAC non è specificato.

L'indirizzo IP di origine è 160.202.128.1 e l'indirizzo IP di destinazione è "il mio ip" (presumibilmente un segnaposto per l'indirizzo IP reale). La lunghezza del pacchetto è 88 byte, il tipo di servizio (TOS) e la precedenza sono entrambi impostati su 0.

Il valore Time To Live (TTL) è 50 e l'ID del pacchetto è 29896. Il protocollo utilizzato è ICMP e il tipo ICMP è 5 (che rappresenta un messaggio di reindirizzamento). Il codice per il messaggio ICMP è 1, che indica un reindirizzamento dell'host.

L'indirizzo IP del gateway è 160.202.128.0.

La seconda parte della voce di registro mostra un altro pacchetto ICMP. L'indirizzo IP di origine è "il mio ip" (lo stesso dell'IP di destinazione del pacchetto precedente) e l'IP di destinazione è 85.221.130.24. La lunghezza del pacchetto è 60 byte, con TOS e precedenza impostati su 0.

Il TTL è 52 e l'ID del pacchetto è 47219. Il protocollo è ICMP e il tipo ICMP è 8 (che rappresenta una richiesta echo). Il codice è 0 e l'ID e i numeri di sequenza sono specificati come 1.

Nel complesso, la voce di registro suggerisce che si è verificato un attacco di reindirizzamento ICMP, in cui l'aggressore ha tentato di reindirizzare il traffico dalla destinazione originale (il mio IP) al gateway 160.202.128.0. Il registro include anche un pacchetto di richiesta echo ICMP inviato dal "mio ip" all'IP di destinazione 85.221.130.24.
​

Cita da Kris su 16 Dicembre 2023, 17:48

Che roba è?

L'attacco di reindirizzamento ICMP è un tipo di attacco di rete che sfrutta il messaggio di reindirizzamento ICMP (Internet Control Message Protocol).

Il reindirizzamento ICMP è una funzionalità utilizzata dai router per informare un host su un percorso migliore verso una rete di destinazione. Tuttavia, un utente malintenzionato può sfruttare questa funzionalità inviando messaggi di reindirizzamento ICMP contraffatti a un host di destinazione. L'obiettivo dell'attacco è reindirizzare il traffico di rete della vittima attraverso la rete dell'aggressore, consentendogli di intercettare, modificare o intercettare la comunicazione.

L'attacco coinvolge tipicamente tre entità: l'host della vittima, l'aggressore e un router legittimo.

L'aggressore invia messaggi ICMP Redirect alla vittima, sostenendo di essere un router legittimo e fornendo un percorso fasullo. Il sistema operativo della vittima, per impostazione predefinita, accetta e aggiorna la propria tabella di routing in base al messaggio ICMP Redirect ricevuto.

Una volta aggiornata la tabella di Routing della vittima, i futuri pacchetti destinati alla rete presa di mira verranno indirizzati attraverso la rete dell'aggressore. Ciò consente all'aggressore di intercettare potenzialmente informazioni sensibili o lanciare ulteriori attacchi alla rete della vittima.

Cita da Kris su 16 Dicembre 2023, 17:52

Detto questo, la prima cosa che ti consiglio è di contattare il tuo fornitore di rete internet e chiedere chiarimenti in merito.

Inoltre se riesci da solo aggiorna il firmware del tuo router, dovrebbero comunque farlo i fornitori ma a volte non avviene come successe per il mio fastweb che per tre anni non ha visto alcun aggiornamento.

Intanto, se vuoi apri un prompt dei comandi come amministratore digita: route print

e se vuoi allega un un immagine del report che esce.

Cita da Emacquafreddy su 17 Dicembre 2023, 11:14

route print
===========================================================================
Interface List
16...........................Kaspersky VPN
18...d8 c4 97 2f 4d 73 ......Realtek PCIe GBE Family Controller
10...9a 22 ef 63 41 81 ......Microsoft Wi-Fi Direct Virtual Adapter
19...aa 22 ef 63 41 81 ......Microsoft Wi-Fi Direct Virtual Adapter #2
7...9a 22 30 63 84 f4 ......Qualcomm Atheros QCA9377 Wireless Network Adapter
1...........................Software Loopback Interface 1
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.145 35
0.0.0.0 128.0.0.0 10.102.37.149 10.102.37.150 1
10.102.0.1 255.255.255.255 10.102.37.149 10.102.37.150 1
10.102.37.148 255.255.255.252 On-link 10.102.37.150 257
10.102.37.150 255.255.255.255 On-link 10.102.37.150 257
10.102.37.151 255.255.255.255 On-link 10.102.37.150 257
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
128.0.0.0 128.0.0.0 10.102.37.149 10.102.37.150 1
149.102.237.112 255.255.255.255 192.168.1.1 192.168.1.145 35
192.168.1.0 255.255.255.0 On-link 192.168.1.145 291
192.168.1.145 255.255.255.255 On-link 192.168.1.145 291
192.168.1.255 255.255.255.255 On-link 192.168.1.145 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.102.37.150 257
224.0.0.0 240.0.0.0 On-link 192.168.1.145 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.102.37.150 257
255.255.255.255 255.255.255.255 On-link 192.168.1.145 291
===========================================================================
Persistent Routes:
None

IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
7 291 fe80::/64 On-link
7 291 fe80::227b:cba6:89fb:6e34/128
On-link
1 331 ff00::/8 On-link
16 271 ff00::/8 On-link
7 291 ff00::/8 On-link
===========================================================================
Persistent Routes:
None

Cita da Kris su 17 Dicembre 2023, 22:12

Prova a controllare se c'è qualcosa di anomalo controllando le proprietà delle tue schede di rete.
Io noto una doppia scheda WiFi mi sembra anomalo.
Vai anche in gestione disco e controlla nella periferica di rete quanti hardware risultano.

1. Analizza l'output del comando "route print". Cerca eventuali problemi come gateway non validi, percorsi errati o duplicati, metriche anomale o indirizzi IP sconosciuti.
2. Verifica che ci siano tutte le interfacce di rete desiderate elencate correttamente. Assicurati che gli indirizzi IP siano assegnati correttamente alle interfacce.
3. Controlla le metriche dei percorsi per assicurarti che siano configurate correttamente. Percorsi con metriche più basse hanno la priorità rispetto a quelli con metriche più alte.
4. Verifica che i gateway predefiniti siano corretti. Essi devono essere configurati correttamente per consentire la connessione a Internet.
5. Controlla se ci sono tracce di pacchetti persi o ritardati che potrebbero indicare un problema di connessione.
6. Verifica se ci sono indirizzi IP sconosciuti o non desiderati nella tabella di routing.