È sicuro ignorare gli attacchi DoS sul mio router?

Naviga le tue risposte
5

Ci sono diverse voci nel file di registro del mio router che mostrano recenti tentativi DoS su alcune delle sue porte. Sembrano così: 

[DoS Attack: ACK Scan] from source: 213.61.245.234, port 80, Friday, November 21,2014 11:37:59
[DoS Attack: ACK Scan] from source: 80.239.159.8, port 443, Friday, November 21,2014 11:18:09
...
[DoS Attack: RST Scan] from source: 195.39.197.142, port 30732, Wednesday, November 19,2014 22:12:35
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:56:38
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:56:33
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:56:06
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:56:01
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:50
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:44
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:38
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:36
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:36
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:30
[DoS Attack: RST Scan] from source: 128.199.49.106, port 18668, Wednesday, November 19,2014 15:06:46

Ho provato la scansione dell'IP pubblico del mio router per le porte aperte: 

sudo nmap <my-public-ip> -Pn --reason --top-ports 10

Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-21 16:02 CET
Nmap scan report for <public-hostname> (<my-public-ip>)
Host is up, received user-set.
PORT     STATE    SERVICE       REASON
21/tcp   filtered ftp           no-response
22/tcp   filtered ssh           no-response
23/tcp   filtered telnet        no-response
25/tcp   filtered smtp          no-response
80/tcp   filtered http          no-response
110/tcp  filtered pop3          no-response
139/tcp  filtered netbios-ssn   no-response
443/tcp  filtered https         no-response
445/tcp  filtered microsoft-ds  no-response
3389/tcp filtered ms-wbt-server no-response

Sono curioso, come fa il mio router a sapere che ognuno di questi è un attacco DoS in primo luogo? Questi casi di utilizzo di nmap sono aggressivi in qualche modo? E dovrei essere preoccupato per questi attacchi?

    
posta 21.11.2014 - 15:12
fonte

3 risposte

8

La ricerca di questi indirizzi IP in Google dà i seguenti risultati:

Dato che Akamai è un fornitore di contenuti (CDN) che ha a quanto riferito ha avuto Facebook come cliente, sembra che questo potrebbe non essere un vero attacco DOS, e che la protezione del tuo router è esagerata. È possibile che molti dei tuoi dipendenti / familiari utilizzino Facebook, il che fa sì che molte risposte (legittime) su Facebook vengano sul tuo router? Il router potrebbe vedere questo come un attacco DOS, quando invece non lo è. Ciò è supportato dal fatto che le "scansioni" provengono dalla porta source 443, che è la porta TLS (HTTPS). Sei connesso tramite HTTPS a Facebook e ti rispondono.

Gli altri indirizzi IP elencati nella tua domanda sembrano un po 'più sfuggenti, ma ancora una volta, questo potrebbe essere un sito legittimo che sta inviando molte risposte (molti CSS, JS, ecc.). Tuttavia, quelli che elencano le porte 30372 e 18668 sono molto sfuggenti. Questi possono essere parte di una scansione massiccia o solo una coincidenza. Non mi preoccuperei di loro se non appaiono regolarmente.

    
risposta data 21.11.2014 - 17:48
fonte
4

Un pacchetto ogni 15 secondi non costituisce un attacco DoS.

Si dice che questo è un router Netgear di base. Questi router sono solitamente pubblicizzati come dotati di speciali funzioni firmware per proteggerti da "minacce Internet"; quello che in realtà hanno è un ordinario router NAT configurato per registrare anomalie nella lingua più allarmante possibile. Le voci di registro che stai vedendo sono il risultato di un primitivo IDS in corso "Guarda! Sto facendo qualcosa!" sto facendo qualcosa! " per cercare di convincerti che c'è una vera minaccia da cui ti protegge.

88.221.82.74 fa parte della rete di consegna dei contenuti di Akamai, mentre il 31.13.91.117 fa parte della rete di Facebook. Gli ACK TCP sulla porta 443 sono probabilmente traffico legittimo (ACK ritardati di pacchetti che sono già stati re-inviati o altri problemi in Internet). Le altre voci del registro sono probabilmente backscatter da attacchi DDoS, portali automatizzati su larga scala e altri rumori di sottofondo di Internet.

    
risposta data 22.11.2014 - 00:40
fonte
1

Non posso aggiungere un commento al momento o lo farei, ma guarderei nella porta 49152 aperta. Esiste una vulnerabilità nota all'interno dei controller di gestione del battiscopa che consente di acquisire abbastanza facilmente le password degli amministratori.

link

Al momento la scansione nmap mostra la tua rete interna, ti consiglio di eseguire nmap con il tuo indirizzo IP esterno fornito dal tuo provider di servizi Internet. Puoi ottenerlo da

link

Per quanto riguarda la tua domanda attuale, sembra che potresti essere colpito ma potrebbe anche essere solo una scansione di massa in cui ti stai inserendo. Il router sta lasciando cadere le connessioni, quindi niente di cui hai bisogno di preoccuparti comunque.

    
risposta data 21.11.2014 - 15:47
fonte

Leggi altre domande sui tag

Ogni elemento di output dovrebbe essere filtrato o solo quelli che contengono dati modificabili dall'utente? [duplicare] Genera CSR e chiave privata con password con OpenSSL