Problema de tráfico saliente

Buenas, la verdad es que no se si llega a ser un problema.

Hace una semana casi que tuve que bloquear la mac a un dispositivo por que se me había metido en la red y estaba saturandola hasta el punto de no poder apenas navegar.

Ahora ya no me aparecen en la configuración del router más dispositivos conectados de los que debería haber, y aunque la conexión va bien, como debe ir en las estadisticas el tráfico saliente me parece excesivo y además da fallos en el envío de paquetes:


-estos son datos de unos 3 minutos.


He probado a desconectar los ordenadores uno por uno y comprobar este tráfico, he probado con un sniffer y nada, todo normal, salvo esos datos.

¿Tienes alguna máquian sirviendo algún tipo de servicio a Internet? (Terminal server, web, ftp, lo_que_sea)...

Si no, y no tienes un pico de enviar correos grandes o archivos grandes a un servidor ftp externo, podría indicar que al menos uno de tus equipos ha sido pillado por una botnet, y estaría enviando spam o similar...

Dices que has puesto un sniffer... ¿Cual? ¿A que equipo estás sniffando? ¿A todos? ¿Uno por uno? ¿Que tip ode tráfico saliente predomina en el sniffer? ¿Hacia que IP/puerto?

Hay muchas incógnitas que no has contado y qeu no podemos evaluar... Pero tú si puedes. Dispones de esta información. Lo que debes hace res verificar que tipo de tráfico (comienza por el puerto de destino) es el que está generando tanto paquete de salida... Y desde que ordenador/dispositivo. Luego te será más fácil verificar si ese tráfico que se está generando es necesario y permitido o si por el contrario se trata de conexiones no deseadas.

Sí, perdón, hablo de una red domestica, con 5 PC, no dan ningún servicio.

El programa que uso se llama IP-sniffer
Me lo bajé de aquí http://ip-sniffer.softonic.com/

Lo he hecho uno por uno, y como digo el volumen de tráfico saliente de cada uno de los ordenadores es normal. Sólo he mirado el volumen.

Sin embargo en las estadisticas del router aparece ese exceso de tráfico, y no aparece reflejado nada más sobre ese tráfico, las ips del DHCP son las que debería haber. Por lo que aparentemente no proviene de ninguno de los ordenadores que tengo en casa.

Tienes que hacer mas pruebas... El tráfico que deberías esnifar es el del router, para saber si hay "algún" elemento extraño que esté accediendo, cual es su IP y a que puertos va... Pero tienes más opciones:

Podrías empezar por algo sencillo.

a) Cambia las contraseñas de tu router usando un PC que sepas que no está infectado con nada, ni está siendo sniffado (igual que tú puedes sniffar tu red, alguien más podría hacerlo).

b) Desactiva el DHCP. Dado que son solo 5 equipos, dales una IP fija. Configura los filtros para no permitir salir a Internet más que a esas 5 IPs.

c) Enciende todos los equipos y déjalos así un tiempo... Verifica las estadísticas para ver si tu tráfico de salida sigue siendo tan elevado.

Si todo es correcto, deberías empezar a plantearte que podría haber alguien robando parte de tu conexión. Eso exige actualización del frimware del router (por si acaso hay bugs explotables), cambio de todas las contraseñas (sobre todo la WIFI,pero yo cambiaría tambien las de los PCs), usar encriptación fuerte (WPA2) y volver a empezar... A ver si así.

Restringir o permitir por MAC es tremendamente inseguro. Fácil de saltar y fácil de modificar la MAC origen tanto en windows como en Linux. Nunca confíes en ese tipo de restricciones (igual que restringir por IP, salvo que tengas absoluto control sobre la configuración IP de todos tus dispositivos).