Gli attacchi Constant Dos sul mio router sembrano togliere la mia connessione internet

Naviga le tue risposte
2

Quindi sono un noob qui e ho fatto delle ricerche sul perché internet (modem via cavo) si blocca circa una o due volte alla settimana da quando ho installato un router Netgear N900 alcuni mesi fa. Dopo aver chiesto un po 'qualcuno mi ha consigliato di guardare i miei log del router. Quando l'ho fatto ho notato un bel po 'di attacchi DoS, che possono essere o non essere veri attacchi maligni. Di seguito è riportato uno snippet dei miei registri negli ultimi 2 giorni. 

[DoS Attack: SYN/ACK Scan] from source: 149.202.86.200, port 80, Thursday, August 25, 2016 20:41:23
[DoS Attack: SYN/ACK Scan] from source: 37.130.228.68, port 8080, Thursday, August 25, 2016 19:48:16
[DoS Attack: TCP/UDP Chargen] from source: 95.211.214.74, port 55113, Thursday, August 25, 2016 19:35:28
[DoS Attack: RST Scan] from source: 45.58.74.129, port 443, Thursday, August 25, 2016 17:49:08
[DoS Attack: TCP/UDP Echo] from source: 31.214.240.122, port 43395, Thursday, August 25, 2016 17:47:20
[DoS Attack: SYN/ACK Scan] from source: 76.74.255.69, port 80, Thursday, August 25, 2016 17:40:53
[DoS Attack: SYN/ACK Scan] from source: 149.56.115.186, port 44405, Thursday, August 25, 2016 17:32:49
[DoS Attack: SYN/ACK Scan] from source: 149.56.89.107, port 42324, Thursday, August 25, 2016 17:30:40
[DoS Attack: RST Scan] from source: 45.58.74.161, port 443, Thursday, August 25, 2016 17:23:43
[DoS Attack: RST Scan] from source: 108.160.172.193, port 443, Thursday, August 25, 2016 16:33:31
[DoS Attack: RST Scan] from source: 108.160.172.204, port 443, Thursday, August 25, 2016 15:47:23
[DoS Attack: TCP/UDP Chargen] from source: 179.43.144.17, port 42698, Thursday, August 25, 2016 12:57:00
[DoS Attack: SYN/ACK Scan] from source: 149.56.89.107, port 42324, Thursday, August 25, 2016 12:44:49
[DoS Attack: SYN/ACK Scan] from source: 141.101.121.251, port 80, Thursday, August 25, 2016 09:49:49
[DoS Attack: SYN/ACK Scan] from source: 151.80.111.125, port 12500, Thursday, August 25, 2016 09:39:44
[DoS Attack: RST Scan] from source: 46.174.48.4, port 80, Thursday, August 25, 2016 08:30:12
[DoS Attack: TCP/UDP Chargen] from source: 95.211.214.74, port 36643, Thursday, August 25, 2016 08:29:42
[DoS Attack: SYN/ACK Scan] from source: 77.87.229.22, port 443, Thursday, August 25, 2016 07:35:56
[DoS Attack: SYN/ACK Scan] from source: 52.220.81.105, port 52200, Thursday, August 25, 2016 07:23:51
[DoS Attack: SYN/ACK Scan] from source: 192.99.39.120, port 1634, Thursday, August 25, 2016 07:08:01
[DoS Attack: ACK Scan] from source: 49.199.13.51, port 22, Thursday, August 25, 2016 05:28:29
[DoS Attack: TCP/UDP Chargen] from source: 104.255.70.247, port 39382, Thursday, August 25, 2016 05:16:25
[DoS Attack: SYN/ACK Scan] from source: 46.105.200.74, port 80, Thursday, August 25, 2016 05:00:20
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Thursday, August 25, 2016 04:40:10
[DoS Attack: ACK Scan] from source: 208.59.216.16, port 80, Thursday, August 25, 2016 04:16:50
[DoS Attack: ACK Scan] from source: 69.168.97.78, port 110, Thursday, August 25, 2016 04:13:40
[DoS Attack: TCP/UDP Chargen] from source: 184.105.139.101, port 48327, Thursday, August 25, 2016 01:17:53
[DoS Attack: RST Scan] from source: 101.227.155.95, port 31414, Thursday, August 25, 2016 01:09:39
[DoS Attack: ACK Scan] from source: 173.203.153.81, port 80, Thursday, August 25, 2016 00:26:53
[DoS Attack: ACK Scan] from source: 173.203.153.81, port 80, Thursday, August 25, 2016 00:15:41
[DoS Attack: SYN/ACK Scan] from source: 77.87.229.22, port 80, Wednesday, August 24, 2016 22:55:06
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Wednesday, August 24, 2016 22:25:30
[DoS Attack: ACK Scan] from source: 212.4.153.171, port 443, Wednesday, August 24, 2016 22:15:19
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 22:13:52
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 22:03:41
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 11095, Wednesday, August 24, 2016 22:02:32
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 22:01:41
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 11095, Wednesday, August 24, 2016 22:00:31
[DoS Attack: ACK Scan] from source: 207.172.196.17, port 443, Wednesday, August 24, 2016 22:00:06
[DoS Attack: ACK Scan] from source: 31.13.71.1, port 443, Wednesday, August 24, 2016 22:00:02
[DoS Attack: ACK Scan] from source: 31.13.71.36, port 443, Wednesday, August 24, 2016 22:00:01
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 21:59:41
[DoS Attack: ACK Scan] from source: 207.172.196.17, port 443, Wednesday, August 24, 2016 21:59:17
[DoS Attack: ACK Scan] from source: 207.172.196.18, port 443, Wednesday, August 24, 2016 21:59:12
[DoS Attack: ACK Scan] from source: 31.13.71.3, port 443, Wednesday, August 24, 2016 21:59:02
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 11095, Wednesday, August 24, 2016 21:58:31
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Wednesday, August 24, 2016 21:02:53
[DoS Attack: TCP/UDP Chargen] from source: 185.94.111.1, port 60830, Wednesday, August 24, 2016 20:09:49
[DoS Attack: RST Scan] from source: 192.162.101.60, port 80, Wednesday, August 24, 2016 19:09:09
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Wednesday, August 24, 2016 18:36:44
[DoS Attack: SYN/ACK Scan] from source: 85.193.69.29, port 80, Wednesday, August 24, 2016 18:33:23
[DoS Attack: SYN/ACK Scan] from source: 91.220.101.45, port 1723, Wednesday, August 24, 2016 18:28:47

Dopo una rapida ricerca su google su alcuni IP sembra che ci siano alcuni indirizzi IP di Facebook e Dropbox nell'elenco. Molti altri sembrano trovarsi in Germania, Regno Unito, Canada, ecc. Non sono sicuro di cosa siano o siano dannosi, ma comincio a credere che la frequenza di questi "attacchi" sia ciò che sta causando il mio modem bloccare. Qualcuno sa se questi sono attacchi dannosi? Come posso risolvere questo tipo di cose dal blocco del mio modem? C'è un'impostazione nel router per consentire il DoS ma sono estremamente esitante a farlo, soprattutto se qualcuno sta davvero cercando di entrare nella mia rete. FWIW Ho circa 30 dispositivi cablati e wireless sulla mia rete (un paio di laptop, smartphone, tablet, telecamere IP, altoparlanti Sonos, Amazon Echo, prodotti Nest, altri prodotti per la casa intelligente, ecc.). Sto solo cercando di capire perché il mio modem continua a bloccarsi da quando ho acquistato questo nuovo router. Pensare a questi attacchi DoS potrebbe essere il colpevole. Qualsiasi aiuto sarebbe molto apprezzato!

    
posta King Kona 26.08.2016 - 03:39
fonte

3 risposte

2

I router SOHO (ho visto almeno questo su dlink e netgear) sono affezionati alla visualizzazione di registri di drammi CRITICI di 24 ore / missione come quelli. Prova invece a installare ddwrt o qualcosa di simile su quel router. Quindi installa tcpdump, connetti al router tramite ssh (putty -log somethingAwry.log 192.168.0.1 (o qualsiasi altra cosa usi il tuo router) e lancia la magia tcpdump -ni eth0 dst host yourPublicIP - qualsiasi flooding verrà mostrato qui. Altrimenti prova eth1 , wan0 , o trova l'interfaccia appropriata usando lo spell ifconfig -a . Se sei inondato contatta il tuo isp e dai loro qualcosa'Awry.log - lo staff degli insetti di qualsiasi flooding IP reagirà rapidamente a qualsiasi mail dal tuo isp sull'abuso . Modifica: le voci del registro sono in qualche modo causate da portscanning, che viene eseguito da entrambi i robot e dall'uomo alla ricerca di servizi specifici da attaccare. loro scandiscono tutto. l'alluvione 'syn' è in genere solo alcuni pacchetti syn per una scansione semiaperta. google "strobe" e "nmap".

    
risposta data 26.08.2016 - 04:32
fonte
0

Gli ACK di porte come 443, 80 e altri endpoint di servizio ben noti sono solo le risposte dei siti Web e dei servizi che stai visitando. Non è malizioso. Il fatto che il router sia confuso da questo, e stia bloccando, indica che è mal progettato e che il firmware dovrebbe essere aggiornato o sostituito.

Poiché la domanda allude alla presenza di molti dispositivi, potrebbe esserci qualcosa che sta facendo un dispositivo specifico che è particolarmente problematico per il router. Non tutti i protocolli sono gestiti con grazia equivalente da questi dispositivi. Un approccio potrebbe essere quello di spegnere sistematicamente i singoli dispositivi e vedere se il comportamento del router si stabilizza.

    
risposta data 26.08.2016 - 04:22
fonte
0

Sono minuti e in alcuni casi ore tra tutte queste voci, quindi non si qualificherà come un attacco e non dovrebbe avere alcun impatto sul router. È normale ottenere alcune scansioni di luce alla ricerca di porte aperte, se si installa un server Web sulla porta 80 probabilmente si otterranno richieste a wordpress phpmyadmin e ad altri servizi usati comunemente dopo che la scansione della porta 80 lo ha mostrato come aperto. Nella maggior parte dei casi sono i ragazzi con script in esecuzione a cercare di trovare server vulnerabili con cui giocare.

Se si trattasse di un attacco DOS, vedresti centinaia di richieste al secondo e se fosse DDOS migliaia di richieste al secondo.

    
risposta data 26.08.2016 - 14:29
fonte

Leggi altre domande sui tag

Perdita di indirizzo IP VPN durante il collegamento Fermare gli spammer dall'utilizzo della messaggistica del mio sito Web