План расследования инцидентаЭтап 1: Сбор информации

Анализ логов роутера:

Просмотреть логи на наличие аномальных ARP-запросов (например, большое количество запросов за короткий период времени).Идентификация неожиданных внешних соединений. Обратить внимание на IP-адреса, с которыми производится связь, и порты.

Опрос пользователей:

Выяснить, когда именно возникают проблемы с интернет-соединением.Проверить, замечали ли пользователи несанкционированные соединения или странное поведение в сети.Этап 2: Сетевой анализ

Пользование tcpdump:

Запустить tcpdump на роутере или на другом сетевом устройстве, чтобы захватить пакетные данные в реальном времени:
tcpdump -i eth0 -nn -s 0 -w capture.pcapАнализировать ARP-запросы и ответы.

Анализ с использованием Wireshark:

Открыть захваченные данные в Wireshark для более глубокого анализа.Использовать фильтры, такие как:
arp

Мониторинг ARP-запросов с arpwatch:

Установить и использовать arpwatch для мониторинга ARP-трафика.Настроить уведомления, чтобы получать оповещения о новых MAC-адресах в сети.Этап 3: Определение возможных векторов атаки

ARP-спуфинг:

Злоумышленник может посылать поддельные ARP-ответы, перенаправляя трафик на свой компьютер.

Подмена DNS:

Проверить, есть ли в DNS-запросах аномалии или подмененные IP-адреса.

Вредоносные устройства:

Поиск неавторизованных устройств в сети. Использовать arpwatch для выявления новых MAC-адресов.

Злоумышленники в локальной сети:

Провести аудит подключенных устройств, возможно, есть устройства с неизвестными или подозрительными MAC-адресами.Этап 4: Устранение проблемы и восстановление

Обнаружение и удаление вредоносных устройств:

Идентифицировать и отключить несанкционированные устройства.

Обновление прошивки роутера:

Проверить наличие обновлений прошивки и применить их.

Смена паролей и настройка безопасности сети:

Изменить пароли на роутере и всех устройствах сети.Включить WPA3 (или WPA2 с сильным паролем) на беспроводной сети.

Настройка фильтрации по MAC-адресам:

Настроить роутер на разрешение подключения только авторизованных MAC-адресов.

Регулярный аудит и мониторинг:

Настроить регулярный мониторинг сети с использованием arpwatch, tcpdump и Wireshark.Проводить периодические проверки на безопасность и сканирования уязвимостей.ПрофилактикаРегулярно обновлять сетевое оборудование и программное обеспечение.Обучать пользователей актуальным угрозам безопасности.Использовать сетевые сегменты для различных типов устройств (например, отдельная сеть для IoT).Рассмотреть возможность использования VPN для защиты внутреннего трафика.

Этот комплекс мероприятий поможет не только решить текущую проблему, но и минимизировать риск подобных инцидентов в будущем.