Rifiuta l'accesso dell'attaccante al mio router

4

Durante il wireless avevo una connettività molto bassa, quindi ho controllato i registri router . Ecco cosa ho visto:

Jul 09 11:07:24 Per-source ACK Flood Attack Detect (ip=74.125.130.129) Packet Dropped
Jul 09 11:07:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:06:24 Per-source ACK Flood Attack Detect (ip=74.125.200.189) Packet Dropped
Jul 09 11:06:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:05:24 Port Scan Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:05:24 Per-source ACK Flood Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:05:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:04:24 Per-source ACK Flood Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:04:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:03:24 Per-source ACK Flood Attack Detect (ip=74.125.200.189) Packet Dropped

....


Jul 09 10:40:24 Per-source UDP Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:40:24 Per-source ACK Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:40:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:40:24 Whole System UDP Flood Attack from WAN Rule:Default deny
Jul 09 10:39:24 Per-source ACK Flood Attack Detect (ip=74.125.200.95) Packet Dropped
Jul 09 10:39:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:38:24 Per-source UDP Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:38:24 Per-source ACK Flood Attack Detect (ip=74.125.130.81) Packet Dropped
Jul 09 10:38:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:38:24 Whole System UDP Flood Attack from WAN Rule:Default deny

Questo è un registro parziale. Come si può vedere l'indirizzo IP registrato come un attaccante continua a cambiare. Sospetto che questo ACK Flood Attack stia uccidendo la mia connettività Internet, vero?

Ho provato a bloccare questi indirizzi, ma la pagina di amministrazione del router consente solo di bloccare ips che cadono nella stessa sottorete. Come posso bloccare questo attacco? Inoltre, questo attacco di alluvione conta nell'utilizzo della larghezza di banda di Internet?

Quali azioni devono essere intraprese per

  1. Proteggere il mio router da tali connessioni (sta già eliminando quei pacchetti, quindi suppongo che sia sicuro, ma mi sta ancora negando la connettività esterna, che è anche quello che voglio ottenere protetto).
  2. Nel caso in cui la larghezza di banda venga contata per il mio utilizzo, come visto dal mio ISP che è fatturabile per me, non voglio pagare per

Nota: ho controllato alcuni di questi IP e sembra che sia la società per cui lavoro. Questo mi fa ripensare, è la ragione della bassa connettività?

    
posta 0xc0de 09.07.2015 - 08:00
fonte

2 risposte

1

Apparentemente questo traffico proviene dalla Rete Google:

NetRange: 74.125.0.0 - 74.125.255.255

CIDR: 74.125.0.0/16

NetName: GOOGLE

Consiglierei di inviare un'e-mail di abuso con i registri allegati a:

OrgAbuseEmail: [email protected]

State facendo dei servizi? Potrebbe essere un bot di Google che ti sta trascinando troppo in fretta? (Almeno per la parte ACK dei log)

    
risposta data 09.07.2015 - 09:34
fonte
1

@ Jeroen-it-nerdbox ha ragione e questa è anche la mia linea di condotta raccomandata. Tuttavia cercherò di contribuire a una situazione più generale (quando non è una società legittima). Tuttavia, la situazione della larghezza di banda è qualcosa che devi controllare con il tuo ISP.

Per quanto riguarda l'attacco stesso, quando una richiesta proviene da una rete esterna raggiunge prima il router, che tenta di mappare la richiesta a un dispositivo collegato ad esso, questo è chiamato port forwarding. Se non è disponibile un dispositivo per rispondere a questa richiesta (non si dispone di un server Web o di un port forwarding disabilitato), il firewall del router dovrebbe eliminare il pacchetto. Un attacco di inondazione ACK non è mirato alla ricerca di vulnerabilità in un server Web o laptop, è inteso a inondare una rete e renderla non reattiva, quindi a seconda delle dimensioni dell'attacco questo può avere un effetto molto tangibile nelle prestazioni della rete.

Alcuni router hanno una protezione chiamata Anti Spoofing, perché un attacco ACK falsifica l'IP di ritorno questo meccanismo è efficace contro questo tipo di attacco, suggerisco di controllare le impostazioni del router e se disponibili per abilitarlo. Inoltre, alcuni router consentono l'amministrazione remota, suggerisco di disabilitarlo anche se questo attacco non ha lo scopo di sfruttare i privilegi.

Un altro modo per proteggere la tua rete se il tuo router non aiuta, è quello di ottenere uno switch economico, la maggior parte degli switch ha caratteristiche di limitazione della velocità, un'analisi approfondita dei pacchetti e persino un filtro ip falso.

    
risposta data 09.07.2015 - 09:44
fonte

Leggi altre domande sui tag