思科路由器可能遭受黑客攻击吗？

我们从 ISP 获得了 Cisco EPC3928AD EuroDocsis 3.0 2-PORT 语音网关。路由器连接到防火墙（运行 iptables 和 Wireshark 的 Ubuntu 盒子）。我们的 LAN（10.0.0.1/24）超出了防火墙。没有其他设备连接到路由器。路由器的 WIFI 已被禁用。

几天前，我们在获取邮件或浏览时发现问题。连接速度开始变慢，有时根本无法连接。这种情况似乎是随机发生的，并且发生在不规则的时间段内（大约 1-30 分钟）。局域网上的所有设备都受到影响。某些服务（如 Skype）不受影响。

ISP 检查了路由器和与 WAN 其余部分的连接。他们没有发现任何问题，无论是调制解调器本身，还是信号强度或电缆。他们还设置了调制解调器所在的 WAN 段的监控，并且运行了几天，没有发现任何问题。

我们的 LAN 没有 DHCP。我们还关闭了调制解调器中的 DHCP。面向 WAN 的防火墙上的 NIC 设置为 192.168.0.201。虽然我们的 LAN 有静态地址，并且每个 NIC 上的 DNS 配置都设置为 ISP 推荐的 DNS，但他们告诉我们，在路由器中激活 DHCP“有时会有所帮助”...

我们继续激活 DHCP，起始地址为 192.168.0.201，范围为 1。我们还为面向调制解调器的 NIC 的 MAC 保留了 192.168.0.201。接下来发生的事情让我们感到困惑：在路由器的“预分配的 DHCP IP 地址”列表中，一个未知的 MAC，00:11:e6:de:ad:07（00:11:e6 属于 Scientific Atlanta，思科的一部分），占用了 192.168.0.201。此外，在路由器的“已连接设备摘要”中，显示了相同的 MAC，但这次在 LAN 上使用 IP（10.0.0.74）！

我们重启了路由器，但无济于事。同样的未知 MAC 再次出现，这次的 LAN 地址 (10.0.0.2) 已被 LAN 上的工作站使用。在 IP 表中阻止 MAC 会使 MAC 从“已连接设备摘要”中消失，但仍在“预分配的 DHCP IP 地址”列表中。我们已将 IP 范围设置为 2，因此它现在占用 192.168.0.202，而不是 192.168.0.201。

重启路由器或断开与防火墙的连接都无济于事。未知 MAC 不断出现。连接时断时续的问题仍然存在。发生了什么事？这是某种黑客攻击吗？任何意见都将不胜感激。