Avviso di sicurezza intrusione di rete nei log del router

Naviga le tue risposte
0

L'ho trovato nei log del mio router 

Intrusion -> SRC=198.20.70.114 DST=(here was my own ip) LEN=44 TOS=0x00 PREC=0x00 TTL=111 ID=43361 PROTO=TCP SPT=1940 DPT=49152 WINDOW=34917 RES=0x00 SYNURGP=0

Sono andato a controllare la geolocalizzazione IP per vedere se è solo il mio IP o qualcosa del genere ed ecco il risultato link

Che cos'è questo? Vivo in Finlandia e ho ricevuto questo avvertimento di intrusione da Chicago? La cosa strana è che, come ho notato questo quando stavo esplorando i log e ho trovato questo, è stato rimosso come 5 minuti dopo averlo visto? A volte il mio ping andava a 600-700 quando non stavo facendo nulla su internet tranne che su un gioco che mostra il ping, e io ero a casa da solo, non scaricando nulla. Qualcuno sta usando il mio internet?

Dovrei essere preoccupato per questo?

Inoltre c'è qualcosa di simile a questo CWMP: Cwmp post informa successo. 

IPPing diagnostic is complete.

CWMP inform message: event: 8 DIAGNOSTICS COMPLETE.

CWMP:Cwmp post inform success.

User ACS(195.197.95.135) modify IPPingDiagnostics.Host,IPPingDiagnostics.NumberOfRepetitions,IPPingDiagnostics.Timeout,IPPingDiagnostics.DataBlockSize,IPPingDiagnostics.DiagnosticsState

Detect UDP port scan attack, scan packet from 192.168.100.14.
    
posta helpme123 12.08.2018 - 17:38
fonte

2 risposte

1

Questo può essere solo qualcosa come un sistema all'interno della rete che esegue l'aggiornamento automatico. Hai già la chiave. 

PROTO=TCP SPT=1940 DPT=49152

La ricerca sulla porta sorgente ti darà l'agente che è client jetVision.

link

Se ritieni ancora che si tratti di una qualche forma di intrusione o che non sia il client jetVision, prova ad isolare questo agente di origine per identificare da dove proviene la rete domestica facendo quanto segue.

  • Isolare il router, disconnettere tutti i dispositivi sul router e verificare se il registro delle intrusioni continua a riflettere. Se c'è il colpevole del tuo router, controlla i manuali per qualsiasi riferimento a questa porta di origine.
  • Se il registro delle intrusioni non si riflette più dopo aver scollegato tutti i dispositivi sul router, collegare un dispositivo alla volta e controllare di nuovo il registro delle intrusioni.
  • Alla fine congratulazioni, hai appena fatto un'indagine forense.
risposta data 13.08.2018 - 02:51
fonte
0

No, non dovresti preoccuparti perché tutti ricevono sempre cose del genere e sembra che il tuo router abbia gestito il problema.

Il log dice SRC= da cui proviene il traffico e questi eventi provengono da tutto il mondo. Ciò non significa che qualcuno stia utilizzando Internet. Significa che qualcuno sta cercando di connettersi a qualsiasi cosa possa essere in ascolto sul tuo IP. Niente a casa tua ha bisogno di essere acceso anche per le persone dall'esterno per cercare di connettersi alle cose. Non devi essere a casa perché qualcuno bussa alla tua porta.

La preoccupazione dovrebbe iniziare se vedi questo traffico che arriva all'interno della tua rete, e che richiederà alcuni strumenti per l'installazione e alcune conoscenze tecniche da configurare. Ma poiché il router sta avvisando su di loro, puoi presumere che li stia bloccando, ma conferma con il manuale del router o con il supporto del fornitore del tuo router.

    
risposta data 15.08.2018 - 10:49
fonte

Leggi altre domande sui tag

Quale sarebbe l'approccio ragionevole per proteggere il nuovo progetto di sandboxing dai buchi di sicurezza creati per caso? Port forwarding all'indirizzo IP in LAN che non è disponibile