[gellios]

Salve a tutti.
Ho scaricato un programmino, Wireless Network Watcher, che mi ha segnalato l'esistenza di un dispositivo sconosciuto che sarebbe collegato alla mia WiFi. Ecco la schermata:



È indicato con la freccia ed ha un IP quasi identico a quello del router e anche l'indirizzo MAC è identico tranne per un dettaglio. Di che si tratta?

Grazie in anticipo.

[Miguel89]

Ma nell'interfaccia del router Technicolor non c'è una lista dei client connessi??

I 2 MAC differiscono solo per quel 6 al posto del 4??

[gellios]

Sì ed è questa:



Non c'è il dispositivo misterioso. Sì, i 2 MAC sono diversi solo per quel 6.

?

[Miguel89]

Molto strano...
Sembra un errore di quel programma... o un'interfaccia diversa sul router che prende un altro IP (anche se di solito non lo fanno)
Per sicurezza cambia password Wi-Fi e vedi se il Device viene ancora rilevato

[zoomx]

gellios,
usa il MAC per fare una ricerca sulla marca del dispositivo su siti come questo
http://aruljohn.com/mac.pl
o altri cercando MAC Lookup

[gellios]

Grazie innanzitutto per il vostro interessamento.
Ho cercato il MAC su quello ed altri servizi, ma non si trova nulla.
Anche cambiando la password del WiFi quel dispositivo risulta connesso.

[zoomx]

Se sull'interfaccia del Technicolor non appare allora mi sa che si tratta di un errore.
Quel che puoi fare è usare wireshark e vedere cosa succede quando esegui il ping verso quell'IP.
Il ping negativo non significa che la macchina non c'è perché la si può istruire per non rispondere ai ping.
Però compare, su wireshark, la richiesta ARP dove la macchina che esegue il ping richiede che MAC abbia l'IP 192.168.1.253 e, se tale macchina c'è, dovrebbe comparire la risposta.

[gellios]

Non conosco quel programma, l'ho appena installato ma non ho capito come devo pingare. Ho scaricato un programma che si chiama nmap e questo è il risultato:

Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-27 15:16 ora solare Europa occidentale
Nmap scan report for 192.168.1.253
Host is up (0.00s latency).
MAC Address: A6:XX:XX:XX:XX:XX* (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 2.61 seconds

*Le X le ho messe io.

La scansione delle porte dà anche questo risultato:

PORT   STATE SERVICE VERSION
80/tcp open  http    Knopflerfish httpd
|_http-methods: No Allow or Public header in OPTIONS response (status code 404)
|_http-title: 404 Not Found
MAC Address: A6:XX:XX:XX:XX:XX (Unknown)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.27
Uptime guess: 0.781 days (since Wed Nov 26 20:35:09 2014)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=199 (Good luck!)
IP ID Sequence Generation: All zeros

Dice che sulla macchina gira Linux, ma io sto su Windows Vista!

Edit:
Scusate il doppio post. Ho trovato altre due cose che, a me che non sono affatto ferrato, mi sembrano strane. Una è questa voce che mi appare con Wireshark:



Nella gestione di connessioni di rete di Windows non trovo quella connessione, mentre le altre tre sì (le ho create io). Inoltre, quella è l'unica voce che non ha un ip numerico come invece hanno le altre.

Poi ho dato un'occhiata (non l'avevo mai fatto prima) al registro eventi del router e mi sono apparese numerose voci tipo queste:



Non so cosa significhino, quegli IP non risultano essere appartenenti a siti che visito. Le voci col triangolo giallo dovrebbero essere dovute al fatto che con nmap ho lanciato un portscan sul mio router.

Non ci capisco più niente. Dite che se resetto il modem e cambio tutte le password taglio la testa al toro? Ho fatto anche delle scansioni con antivirus, antimalware e antirootkit senza trovare niente.

 

Nota: Post uniti per chiarezza

[zoomx]

Il ping si lancia da shell, premi start e nella casella in basso scrivi cmd.
Una volta nella shell provi ping 192.168.1.253.

In wireshark anche a me compaiono delle interfacce di cattura con ip che inizia per fe80:, ne ho 5 di cui una sicuramente è attiva. Si tratta di indirizzi IPv6. Probabilmente è un problema di wireshark perché dovrebbe avere un IPv4 (cerca su Google se non sai cosa sono).

Avere IP di siti che non visiti può essere normale, ci sono programmi che controllano se ci sono aggiornamenti, quando visiti un sito non è detto che vai nel sito ma in una sua cache (organizzata dal sito stesso) posta altrove, c'è la pubblicità che si collega ad altri siti e così via.

Piuttosto, se il possibile intruso è collegato via WiFi potresti intercettare tutto il suo traffico ma su Windows non so come si fa. Su Linux si usa kismet. Io ne ho una vecchia versione su una distribuzione che è l'antesignana di Backtrack (che ora ha ancora cambiato nome) che ha l'enorme vantaggio di avere un'interfaccia grafica.

Il kernel linux 2.6 e l'esistenza della porta 80 aperta mi fanno pensare ad un dispositivo embedded. Non è che hai un decoder del digitale terrestre o roba simile?

[gellios]

Allora, in modo del tutto casuale e senza capirci granché, credo di aver risolto la cosa.
In pratica, nel router era attivato il server UPnPV AV (a che serve?), che aveva assegnato proprio l'indirizzo ip misterioso. L'ho disabilitato e il router glie ne ha comunque assegnato un altro. Wireless Network Watcher adesso non mi segnala più l'ip "intruso", nemmeno quello che il router ha messo adesso. Ecco la schermata:



Insomma, era un falso allarme. Grazie comunque per avermi prestato attenzione!
Ciao!

[zoomx]

Si tratta di un server DLNA, se colleghi una memoria di massa con foto, video e musica la fornisce a tutti i client DLNA, di solito TV smart e smartphone.