Ho avuto alcuni problemi strani con una rete domestica, e mi sembra di avere qualche vulnerabilità che non conosco. Ad essere onesti, però, non sono un grande network / ragazzo della sicurezza e mi sento un po 'fuori dalla mia profondità. Spero che qualcun altro possa aiutarmi a capire cosa sta succedendo.
Per almeno gli ultimi due mesi ho visto voci strane nei miei log del router. Fondamentalmente, almeno ogni pochi giorni, sto vedendo qualche voce nei miei log del router che dice "Dos Attack" e "FIN Scan" / "Ack Scan" o "Puffo". A volte gli IP remoti etichettati come fonte di attacco vengono visualizzati in whois di proprietà di Google o in una società pubblicitaria denominata OpenX.
All'inizio ho pensato, beh, se il mio router registra solo le voci, quindi deve bloccarle, quindi va bene. Ma non ne sono così sicuro ora. Dai un'occhiata ad una serie recente di voci di registro, ad esempio:
[DoS attack: Smurf] attack packets in last 20 sec from ip [192.168.1.6], 15:56:22
[DHCP IP: (192.168.1.2)] to MAC address 33:33:33:33, 12:33:00
[DHCP IP: (192.168.1.2)] to MAC address 33:33:33:33, 12:32:49
[DoS attack: FIN Scan] attack packets in last 20 sec from ip [173.241.250.212], 10:45:25
[DoS attack: FIN Scan] attack packets in last 20 sec from ip [173.241.250.143], 10:45:25
[DHCP IP: (192.168.1.6)] to MAC address 22:22:22:222, 09:11:05
Ciò che mi preoccupa di una voce di registro come questa è che i "pacchetti di attacco" cambiano l'indirizzo IP - non solo per uno nella mia rete interna, ma per il computer che avevo usato prima quella notte ( ero addormentato quando i pacchetti di attacco sono stati registrati e il mio computer era presumibilmente addormentato ). Questo mi fa pensare che i "pacchetti di attacco" permettessero in qualche modo a qualcuno di accedere al mio sistema o alla mia rete. Ciò che è ancora più strano per me è che, mentre questo è successo da un po 'di tempo, le voci più recenti che mostrano questo tipo di switch IP da remoto a locale erano per una macchina Mac, mentre quelle precedenti erano correlate a una Windows fisicamente diversa macchina.
Prima di quest'ultima voce ho preso alcuni provvedimenti per proteggere la mia rete per ogni evenienza. Oltre all'aggiornamento del mio router, tutte le altre macchine sulla rete sono state DBAN e Windows è stato reinstallato nuovamente, ho aggiornato il mio modem alla sua versione più recente, ho disabilitato la radio wireless interamente sul mio router, quindi non c'è wireless rete e nessuna rete wireless ospite, e ho anche cambiato il mio IP esterno / pubblico con il mio fornitore di servizi.
Qualcuno ha mai visto qualcosa di simile? Sto scavando in un problema che non esiste, o è possibile che io sia il bersaglio di qualche bot o attacco?
Grazie per il tuo tempo!
Modifica Chiarito un po 'di linguaggio e ci sono stati più "IP di origine" per i log di attacco.