Postado originalmente por
UltraFox
Boa noite a todos.
Hoje encontramos uma situação pitoresca por assim dizer.
Um pirata invadiu o sistema sem ter o menor acesso.
Usamos MIKROTIK com default authenticate desmarcado e forward desmarcado também cadastramos todos os clientes na acess list.
Porem notei que hoje um dos meus pontos a pontos estava tendo um consumo acima do normal.
quando entrei no MTK ele tinha um MAC - que nao esta na lista de acesso e mesmo assim ele constava na lista de registro. Mesmo colocando ele na lista e desmarcando o authenticate o safado ainda consegui conectar normalmente no sistema. Depois de rodar toda a internet achei o topico com a informação de que marcar a opção: ARP reply-only cairia a conexão do bastardo isso aconteceu por 5 segundos até o retorno do mesmo.
Nisso parece que ele tem um programa que de alguma forma passa os meus IPs chaves de servidores clientes e etc, é até incrivel como ele sabe bem os IPs. e principalmente a velocidade que estes IPs são trocados não seria um pessoa trocando. Então sai criando conflitos de IP e mais um tanto de porcaria na rede.
A Solução até o momento foi criar uma regra de FIREWALL para bloquei por MAC DROPando assim todos os pacotes destinados para o filho da mãe.
Os idiotas são muito inventivos.... O cara esta mudando "clonando" o mac e foge do bloqueio no Firewall.
O Que me deixou de cabelo em Pé é justamente como ele fez para BURLAR o controle de MAC do proprio MTK.
Com a palavras os Mestres do Forum...