Mon Mac essayant de se connecter à une machine d'intrusion possible, qui n'est plus dans le réseau

Je viens de poser une question je pense que quelqu'un d'autre a accès à mon réseau sans fil. Quoi de neuf? . J'ai changé la sécurité sans fil à WPA2, j'ai changé le mot de passe, le partage de fichiers désactivé, etc. comme = suggéré dans les réponses. J'ai même redémarré mon modem pour que les baux DCHP expirent. (Étant un ancien modem, il n'y a pas d'option, au moins de ce qui peut le voir, pour réinitialiser les baux)

Maintenant, par curiosité, j'ai téléchargé Wireshark pour voir ce qui se passe réellement sur mon réseau.

Je vois encore 192.168.1.6 faire quelque chose sur le réseau. Pire encore, je vois ma machine, 192.168.1.2 en train de parler!
Wireshark

À présent,

  1. Comment est-ce possible? Les contrats de DCHP du modem indiquent qu'il n'y a pas 192.168.1.6.
  2. Est-ce que mon Mac se souvient en quelque sorte d'une ancienne adresse et essaie de se connecter à elle? Alors pourquoi y a-t-il une réponse?
  3. Pourquoi mon MAC serait-il connecté? Le partage de fichiers est désactivé. Le partage Web est désactivé. Est-ce quelque chose à qui m'inquiéter ou est-ce que je suis effrayant sans raison?

  1. Comment est-ce possible? Les contrats de DCHP du modem indiquent qu'il n'y a pas 192.168.1.6.

DHCP affecte simplement les adresses IP. Il est entièrement consultatif, et tout hôte peut choisir sa propre adresse avec ou sans DHCP.

2. Est-ce que mon Mac se souvient en quelque sorte d'une ancienne adresse et essaie de se connecter à elle? Alors pourquoi y a-t-il une réponse? 3. Pourquoi mon Mac serait-il connecté? Le partage de fichiers est désactivé. Le partage Web est désactivé. Est-ce quelque chose à qui m'inquiéter ou est-ce que je suis effrayant sans raison?

D'après ce que nous pouvons voir dans cette partie, votre Mac lance une connexion TCP et veut parler de NetBIOS. NetBIOS est souvent utilisé pour la résolution de noms, pas nécessairement le partage de fichiers. Votre Mac s'est effectivement souvenu du point d'extrémité distant NetBIOS et se connecte maintenant à celui-ci. 192.168.1.6 parle NetBIOS, mais refuse la connexion. Ce trafic en soi n'est pas un problème.

Machine d'intrusion possible

Tout d'abord, découvrez l'adresse IPv4 du routeur. C'est probablement 192.168.1.1, mais s'il en est .6, le mystère est résolu. Ensuite, désactivez le WLAN temporairement et connectez-le par câble. Assurez-vous qu'aucun autre ordinateur n'est connecté, ni par câble ni par WLAN (la LED WiFi doit être éteinte). Ensuite, définissez un nouveau mot de passe WPA2, d'abord sur le routeur, puis sur toutes les machines. Vérifiez les adresses IP sur toutes les machines connectées au réseau pour vous assurer que 192.168.1.6 n'est pas un ancien serveur de fichiers dans votre placard. Si vous pouvez toujours détecter l'intrus (et je parie que vous êtes confronté à une mauvaise configuration, pas un intrus – un intruseur compétent ne parlerait probablement pas NetBIOS), posez une nouvelle question et assurez-vous que vos ordinateurs ne sont pas compromis.

Si quelqu'un s'est connecté à votre système, il est possible de configurer manuellement l'adresse IP qu'ils acceptent de contourner le serveur DHCP.

Comme il y a du trafic à destination et en provenance de l'adresse .6, il y a évidemment quelque chose. Êtes-vous sûr qu'il n'y a rien d'autre connecté à votre réseau, un NAS ou un autre périphérique connecté au réseau comme un téléviseur ou éventuellement un magnétoscope numérique, une console de jeux, un ipod, un iphone, etc.

Je ne sais pas comment bonjour apparaîtrait dans wireshark mais il pourrait être itunes en partageant ses médias.