Router che rileva il port scan e l'ack flood attack

Naviga le tue risposte
2

Negli ultimi giorni, sto notando che il registro del mio router wireless mostra un attacco di inondazione ACK da vari indirizzi IP. Io uso un D-Link DIR-600L. Ho cercato su Internet, anche attraverso questa domanda. Ma non posso venire a nessuna soluzione. Il mio ISP mi ha consigliato di cambiare gli indirizzi IP DNS e inserirli manualmente. Fare così ancora non ha migliorato i risultati. In effetti, ora alcuni siti web non si aprono e sto ottenendo HTTP Error 404 quando accedo a Facebook da Chrome, non altri browser. Completata anche la cronologia, nulla è cambiato. MalwareBytes Anti Malware ha dimostrato che il mio sistema è chiaro. Reimpostare il router alle impostazioni di fabbrica risolve solo il problema per un certo periodo di tempo. Io uso una connessione PPPoE, dove un filo dell'ISP entra nel router, e da lì un filo Ethernet entra nel mio computer.

Questa è una parte del file di registro che ho recentemente memorizzato sul computer: 

Mar 20 20:44:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:44:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:43:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:43:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:42:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:42:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:41:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:41:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:40:38  Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:40:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:40:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:39:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:39:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:38:38  Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:38:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:38:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:37:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:37:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:36:38  Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:36:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:36:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:35:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:35:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:34:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:34:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:33:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:33:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:32:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:32:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:31:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:31:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:30:38  Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:30:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:30:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:29:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:29:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:29:17 DHCP lease IP 192.168.0.100 to android-8d3000955a8eba27 c4-43-8f-41-c9-02<br>
Mar 20 20:29:13 Authentication Success c4-43-8f-41-c9-02<br>
Mar 20 20:29:13 Authenticating...... c4-43-8f-41-c9-02<br>
Mar 20 14:58:48 Remote management is disabled. <br>
Mar 20 14:58:48 Anti-spoofing enabled. <br>
Mar 20 14:58:48 Block WAN PING enabled. <br>
Mar 20 14:58:48 URL Blocking disabled. <br>
Mar 20 14:58:48 RTSP ALG enabled. <br>
Mar 20 14:58:48 VPN (IPsec) Pass-Through enabled. <br>
Mar 20 14:58:47 VPN (PPTP) Pass-Through enabled. <br>
Mar 20 14:58:47 VPN (L2TP) Pass-Through enabled. <br>
Mar 20 14:58:45 PPPoE line connected <br>
Mar 20 14:58:45 IPCP: secondary DNS address (X.X.X.X) <br>
Mar 20 14:58:45 IPCP: primary DNS address (Y.Y.Y.Y) <br>
Mar 20 14:58:45 IPCP: remote IP address (XX.XX.XX.XX) <br>
Mar 20 14:58:45 IPCP: local IP address (YY.YY.YY.YY) <br>
Mar 20 14:58:44 CHAP authentication succeeded <br>
Mar 20 14:58:38 PPPoE: Receive PADS <br>
Mar 20 14:58:38 PPPoE: Sending PADR <br>
Mar 20 14:58:38 WAN Dialup Try to establish PPPoE line<br>

È interessante notare che quasi tutti gli attacchi si verificano a intervalli di 1 minuto

È una questione che preoccupa? A causa di questo, le mie velocità di navigazione su Internet sono state tremendamente basse.

Ho le seguenti impostazioni sul mio router

  1. Controllo anti-spoof: ON
  2. Firewall: OFF
  3. DMZ: OFF
  4. WPS: OFF
  5. Wireless avanzato: OFF
  6. Preambolo: Breve
  7. Selezione canale: Auto
  8. Modalità: 802.11 misto (n / g / b)
  9. Larghezza di banda: Auto
  10. 20 / 40Mhz coesistono: OFF
  11. Protezione breve: ON
  12. UPnP: ON
  13. Stream multicast: ON
  14. Relay DNS: OFF

Modifica :

Rispondendo alla quest di @ DKNUCKLES, ecco l'output dal comando netstat -ant : 

Active Connections

  Proto  Local Address          Foreign Address        State           Offload S
tate

  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:554            0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:5357           0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:10243          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49156          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49157          0.0.0.0:0              LISTENING       InHost

  TCP    127.0.0.1:5357         127.0.0.1:49708        TIME_WAIT       InHost

  TCP    127.0.0.1:5357         127.0.0.1:49711        TIME_WAIT       InHost

  TCP    127.0.0.1:5357         127.0.0.1:49712        TIME_WAIT       InHost

  TCP    127.0.0.1:5357         127.0.0.1:49738        TIME_WAIT       InHost

  TCP    127.0.0.1:5357         127.0.0.1:49744        TIME_WAIT       InHost

  TCP    192.168.0.100:139      0.0.0.0:0              LISTENING       InHost

  TCP    192.168.0.100:49713    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49718    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49722    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49723    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49728    173.252.102.241:443    ESTABLISHED     InHost

  TCP    192.168.0.100:49729    173.252.102.241:443    TIME_WAIT       InHost

  TCP    192.168.0.100:49735    31.13.79.49:443        ESTABLISHED     InHost

  TCP    192.168.0.100:49736    74.125.200.138:443     ESTABLISHED     InHost

  TCP    192.168.0.100:49737    74.125.236.132:443     ESTABLISHED     InHost

  TCP    192.168.0.100:49745    74.125.135.125:5222    ESTABLISHED     InHost

  TCP    192.168.0.100:49746    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49751    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49759    198.252.206.25:80      ESTABLISHED     InHost

  TCP    192.168.0.100:49760    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49767    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49787    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49792    31.13.79.96:443        ESTABLISHED     InHost

  TCP    [::]:135               [::]:0                 LISTENING       InHost

  TCP    [::]:445               [::]:0                 LISTENING       InHost

  TCP    [::]:554               [::]:0                 LISTENING       InHost

  TCP    [::]:2869              [::]:0                 LISTENING       InHost

  TCP    [::]:3587              [::]:0                 LISTENING       InHost

  TCP    [::]:5357              [::]:0                 LISTENING       InHost

  TCP    [::]:10243             [::]:0                 LISTENING       InHost

  TCP    [::]:49152             [::]:0                 LISTENING       InHost

  TCP    [::]:49153             [::]:0                 LISTENING       InHost

  TCP    [::]:49154             [::]:0                 LISTENING       InHost

  TCP    [::]:49155             [::]:0                 LISTENING       InHost

  TCP    [::]:49156             [::]:0                 LISTENING       InHost

  TCP    [::]:49157             [::]:0                 LISTENING       InHost

  UDP    0.0.0.0:500            *:*

  UDP    0.0.0.0:3544           *:*

  UDP    0.0.0.0:3702           *:*

  UDP    0.0.0.0:3702           *:*

  UDP    0.0.0.0:3702           *:*

  UDP    0.0.0.0:3702           *:*

  UDP    0.0.0.0:4500           *:*

  UDP    0.0.0.0:5004           *:*

  UDP    0.0.0.0:5005           *:*

  UDP    0.0.0.0:5355           *:*

  UDP    0.0.0.0:49784          *:*

  UDP    0.0.0.0:53772          *:*

  UDP    0.0.0.0:61041          *:*

  UDP    127.0.0.1:1900         *:*

  UDP    127.0.0.1:49783        *:*

  UDP    192.168.0.100:137      *:*

  UDP    192.168.0.100:138      *:*

  UDP    192.168.0.100:1900     *:*

  UDP    192.168.0.100:49782    *:*

  UDP    192.168.0.100:54659    *:*

  UDP    [::]:500               *:*

  UDP    [::]:3540              *:*

  UDP    [::]:3702              *:*

  UDP    [::]:3702              *:*

  UDP    [::]:3702              *:*

  UDP    [::]:3702              *:*

  UDP    [::]:4500              *:*

  UDP    [::]:5004              *:*

  UDP    [::]:5005              *:*

  UDP    [::]:5355              *:*

  UDP    [::]:49785             *:*

  UDP    [::]:53773             *:*

  UDP    [::]:61042             *:*

  UDP    [::1]:1900             *:*

  UDP    [::1]:49781            *:*

  UDP    [fe80::3089:dda9:e5bb:4761%13]:546  *:*

  UDP    [fe80::3089:dda9:e5bb:4761%13]:1900  *:*

  UDP    [fe80::3089:dda9:e5bb:4761%13]:49780  *:*

Sì, il traffico corrisponde al traffico che sto vedendo sul router, che viene bloccato e rilevato come un attacco di inondazione ACK.

    
posta Ayush Khemka 20.03.2014 - 16:21
fonte

1 risposta

1

Il meccanismo anti-spoofing del firewall sembra bloccare il traffico, il che significa che sta facendo ciò che dovrebbe fare. I dispositivi esposti a Internet sono controllati regolarmente per exploit facili, port scanning, ecc. Direi che le reti dei miei client sono scansionate almeno una volta al giorno, e attenuiamo il rischio assicurando i meccanismi di difesa adeguati sono a posto.

Ecco cosa farei se fossi in te.

  • Ripristina il dispositivo alle impostazioni di fabbrica e scollega il cavo alla WAN
  • Imposta una password complessa per l'amministrazione del dispositivo (diversa da quella attualmente disponibile)
  • Verifica che Firewall sia abilitato e UPnP sia disabilitato (tutte le altre impostazioni sembrano a posto)
  • Assicurati che l'amministrazione remota sia disabilitata
  • Monitora attentamente
risposta data 21.03.2014 - 14:08
fonte

Leggi altre domande sui tag

Impostazione NAT con firewall per connessione RDP RBAC e asserzioni, quale flusso di autorizzazione è migliore?