Ripetuto "Dos Attack" da IP remoti

0

Ho avuto alcuni problemi strani con una rete domestica, e mi sembra di avere qualche vulnerabilità che non conosco. Ad essere onesti, però, non sono un grande network / ragazzo della sicurezza e mi sento un po 'fuori dalla mia profondità. Spero che qualcun altro possa aiutarmi a capire cosa sta succedendo.

Per almeno gli ultimi due mesi ho visto voci strane nei miei log del router. Fondamentalmente, almeno ogni pochi giorni, sto vedendo qualche voce nei miei log del router che dice "Dos Attack" e "FIN Scan" / "Ack Scan" o "Puffo". A volte gli IP remoti etichettati come fonte di attacco vengono visualizzati in whois di proprietà di Google o in una società pubblicitaria denominata OpenX.

All'inizio ho pensato, beh, se il mio router registra solo le voci, quindi deve bloccarle, quindi va bene. Ma non ne sono così sicuro ora. Dai un'occhiata ad una serie recente di voci di registro, ad esempio:

[DoS attack: Smurf] attack packets in last 20 sec from ip [192.168.1.6], 15:56:22

[DHCP IP: (192.168.1.2)] to MAC address 33:33:33:33, 12:33:00
[DHCP IP: (192.168.1.2)] to MAC address 33:33:33:33, 12:32:49

[DoS attack: FIN Scan] attack packets in last 20 sec from ip [173.241.250.212], 10:45:25
[DoS attack: FIN Scan] attack packets in last 20 sec from ip [173.241.250.143], 10:45:25

[DHCP IP: (192.168.1.6)] to MAC address 22:22:22:222, 09:11:05

Ciò che mi preoccupa di una voce di registro come questa è che i "pacchetti di attacco" cambiano l'indirizzo IP - non solo per uno nella mia rete interna, ma per il computer che avevo usato prima quella notte ( ero addormentato quando i pacchetti di attacco sono stati registrati e il mio computer era presumibilmente addormentato ). Questo mi fa pensare che i "pacchetti di attacco" permettessero in qualche modo a qualcuno di accedere al mio sistema o alla mia rete. Ciò che è ancora più strano per me è che, mentre questo è successo da un po 'di tempo, le voci più recenti che mostrano questo tipo di switch IP da remoto a locale erano per una macchina Mac, mentre quelle precedenti erano correlate a una Windows fisicamente diversa macchina.

Prima di quest'ultima voce ho preso alcuni provvedimenti per proteggere la mia rete per ogni evenienza. Oltre all'aggiornamento del mio router, tutte le altre macchine sulla rete sono state DBAN e Windows è stato reinstallato nuovamente, ho aggiornato il mio modem alla sua versione più recente, ho disabilitato la radio wireless interamente sul mio router, quindi non c'è wireless rete e nessuna rete wireless ospite, e ho anche cambiato il mio IP esterno / pubblico con il mio fornitore di servizi.

Qualcuno ha mai visto qualcosa di simile? Sto scavando in un problema che non esiste, o è possibile che io sia il bersaglio di qualche bot o attacco?

Grazie per il tuo tempo!

Modifica Chiarito un po 'di linguaggio e ci sono stati più "IP di origine" per i log di attacco.

    
posta SkyEx 15.05.2016 - 06:29
fonte

2 risposte

1

Disconnettere l'indirizzo IP "192.168.1.6" dal router. Se il gateway del router è "192.168.1.1", il registro degli attacchi dos di 192.168.1.6 è un altro computer collegato al router. Se non sai come disattivarlo nelle impostazioni del router, configura una regola nel firewall per bloccare il traffico da 192.168.1.6.

SE in effetti stai vivendo un attacco DoS, che a mio avviso è altamente improbabile, c'è ben poco da fare per impedirlo - per dirla senza mezzi termini, se un hacker voleva rendere la tua connessione inutilizzabile , non c'è modo in cui puoi fermarlo - stai andando giù - non importa quale router usi, verrai rimosso.

La domanda è: perché vuole sprecare risorse preziose per te? Qual è il motivo, dov'è il vantaggio?

Negli anni passati, gli attacchi DoS potevano essere fatti in modo molto semplice, ma i produttori di apparecchiature hanno patchato il loro codice e chiuso tutti gli attacchi più semplici e meno dispendiosi in termini di risorse, cosicché un attacco DoS ora abbia successo, richiede una botnet , un esercito di sistemi compromessi, che richiede tempo per essere costruito e che nessun hacker rischierà di essere esposto a un consumatore.

scansioni ACK e amp; Le scansioni FIN come attacchi DoS sono exploit storici, incapaci di chiudere un router moderno - la CPU non dovrebbe rispondere a loro, dovrebbero essere scartati dal processo NAT, a meno che non si verifichino sulle porte che hai inoltrato.

(EDIT) Un tipico processo di rilevamento DoS non risponde a un singolo "attacco", è normale che un router abbia una soglia impostata ad es. 20 al secondo, ma questo non ti dice esattamente quale tasso stanno arrivando. Direi che se il router è in grado di elaborare il messaggio e rilasciarlo, e se i registri mostrano i messaggi "Attacca DoS" a distanza di minuti, il router non dovrebbe essere stressato in alcun modo semplicemente dal volume di traffico in quanto quel livello di traffico è abbastanza insignificante.

Se il router sta reagendo male a qualcosa, ad es. un messaggio malformato quindi forse questo potrebbe avere un impatto sulle prestazioni del router, ma questa è solo un'ipotesi da parte mia. Se dovessi fare la domanda di ingegneria, mi aspetterei che la risposta fosse sulla falsariga di "non che noi sappiamo di". Avrebbero bisogno di informazioni abbastanza dettagliate per essere in grado di investigare.

Se gli attacchi DoS sono abbastanza regolari, potresti forse catturare il traffico usando un'utilità Packet Capture, ad es. Microsoft Network Monitor o Wireshark. Collega un computer direttamente al modem e acquisisci il traffico nel periodo di tempo che ti aspetteresti che gli attacchi DoS appaiano. Dovresti anche cercare di mantenere l'indirizzo MAC WAN coerente in modo che non ti venga assegnato un indirizzo IP diverso quando sei connesso al modem, questo viene fatto nelle impostazioni WAN del router selezionando l'opzione 'Usa indirizzo MAC del computer'. Una cosa di cui non sono del tutto sicuro è se il sistema operativo del computer potrebbe rilasciare pacchetti malformati prima che lo strumento Capture Capture possa vederlo. A proposito, cambiare l'indirizzo MAC in questo modo con un servizio via cavo (l'opposto di quello che sto suggerendo qui) spesso comporterà la scomparsa degli attacchi DoS, almeno temporaneamente.

    
risposta data 15.05.2016 - 08:30
fonte
0

per chiarire, questa attività è normale, le vedo anche su altri router. Aveva una paura simile, ha fatto ricerche. È un falso positivo generato da un set di regole troppo ampio.

    
risposta data 15.05.2016 - 09:57
fonte

Leggi altre domande sui tag