Rileva il possibile tentativo di attacco del router

0

Ho un grosso problema con il mio router: Sagem F @ st 3202.

Ecco alcuni eventi del registro di sicurezza:

Inbound Traffic | Blocked - Default policy | TCP XX.XX.XX.XXX:80->XX.X.XX.XX:51707 on ppp0 [repeated 3 times, last time on Apr 23 02:32:08 2014]

Inbound Traffic | Blocked - Spoofing protection | IGMP 192.168.4.1->224.0.0.1 on eth2

Inbound Traffic | Blocked | Packet invalid in connection, tcp reset attack is suspected: TCP [repeated 2 times, last time on Apr 23 02:35:02 2014]

Gli eventi si ripetono continuamente nelle ultime 24 ore.

Potresti aiutarmi a identificare l'attacco? Sarebbe molto utile definire l'attaccante. È possibile che si tratti di una sorta di wardriving? È un tentativo casuale o pianificato?

    
posta David 23.04.2014 - 03:45
fonte

1 risposta

2

Potresti andare a fare una ricerca GeoIP sull'indirizzo IP, dato che non è falsificato (che è 9/10 volte). Se l'IP non sta saltando troppo, potresti creare una regola di caduta per bloccare il traffico da quell'IP. Potresti anche essere in grado di rilasciare la sottorete dato che tutti gli IP di origine si trovano in quella sottorete. Sembra che stiano lanciando attacchi casuali contro di te. Non ci sono molte informazioni su questo post. Forse hai più voci di registro con informazioni diverse? Ci sono degli indirizzi IP che puoi fornire che non sono i tuoi?

    
risposta data 23.04.2014 - 04:03
fonte

Leggi altre domande sui tag