Il router rileva gli attacchi continui degli attacchi inattivi e le scansioni delle porte

Question

Il router rileva gli attacchi continui degli attacchi inattivi e le scansioni delle porte

#1 da (2 voti)

1

L'ho notato per la prima volta ieri nei miei registri - mentre stavo configurando le impostazioni del router, quindi non so per quanto tempo è trascorso. Cosa dovrei fare? Ho riconfigurato il mio router con impostazioni più sicure, ho cambiato la mia password e sta ancora accadendo. Quindi ora sono direttamente connesso.

Ero addormentato in questo momento, il "successo dell'autenticazione" mi preoccupa, i miei registri sono pieni di attacchi di inondazioni ACK e scansioni di pacchetti.

Mar 15 15:37:34 Port Scan Attack Detect (ip=31.13.74.1) Packet Dropped
Mar 15 15:37:34 Per-source ACK Flood Attack Detect (ip=184.84.243.224) Packet Dropped
Mar 15 15:35:34 Whole System ACK Flood Attack from WAN Rule:Default deny
Mar 15 15:34:34 Per-source ACK Flood Attack Detect (ip=31.13.74.1) Packet Dropped
Mar 15 15:34:34 Whole System ACK Flood Attack from WAN Rule:Default deny
Mar 15 15:33:34 Per-source ACK Flood Attack Detect (ip=69.16.175.10) Packet Dropped
Mar 15 15:32:54 DHCP lease IP 192.x.x.x to John 0c-xx-xx-xx-xx-xx
Mar 15 15:32:53 Authentication Success 0c-xx-xx-xx-xx-xx
Mar 15 15:32:53 Authenticating...... 0c-8b-xx-xx-xx-xx
Mar 15 13:12:13 DHCP lease IP 192.x.x.x to NP-13C254012390 cc-6d-xx-xx-xx-xx
Mar 15 12:36:13 DHCP request success 192.x.x.x

Apprezzerei davvero qualsiasi aiuto.

network attacks wireless network-scanners flooding

posta Calisto 15.03.2015 - 17:52

fonte

1 risposta

Leggi altre domande sui tag network attacks wireless network-scanners flooding

ModSecurity si sta comportando in modo buffo in apache2.4 su ubuntu 14.04 Client Scambio chiave IPSEC VPN vs Scambio chiavi IPSEC VPN sito-sito

score 2 · Accepted Answer

Internet è un posto selvaggio; ci sono tonnellate (come in, centinaia di migliaia o addirittura milioni) di robot script-kiddie che scansionano costantemente ogni singolo indirizzo IP alla ricerca di porte aperte a cui connettersi o server non sicuri che possono sfruttare. Molto probabilmente è il tipo di attività che stai vedendo.

Fortunatamente, la stragrande maggioranza dei router di consumo può facilmente difendersi da questa roba perché viene fornita con un firewall che, per impostazione predefinita, bloccherà tutte le connessioni in entrata e consentirà solo connessioni in uscita. Sembra che anche il tuo, in base al WAN Rule:Default deny che compare nello snippet che hai postato.

Quindi, in pratica, probabilmente non c'è molto che tu possa o debba fare a riguardo. Ma in generale, per proteggere il tuo router dovresti:

Verifica che sul router non siano aperte porte in entrata (che puoi utilizzare utilizzando il sito Web GRC Shield's Up scansione "Tutte le porte di servizio"
Tieni aggiornato il firmware del tuo router controllando il sito Web del produttore per gli aggiornamenti
Assicurati di modificare la password dell'interfaccia di amministrazione predefinita con qualcosa di più sicuro
Se si tratta di un router wireless, assicurarsi che il wireless sia protetto con WPA2-PSK e una chiave strong; assicurati anche che WPS sia disabilitato
Se esiste un'opzione per abilitare l'amministrazione remota, disabilitala.

Per quanto riguarda i messaggi di "Autenticazione riuscita" nel tuo registro, potrebbe semplicemente accedere all'interfaccia amministrativa per controllare il registro?