Постоянные атаки Dos на мой маршрутизатор, похоже, прерывают мое интернет-соединение

Итак, я здесь новичок и проводил некоторое исследование, почему мой интернет (кабельный модем) зависает примерно один или два раза в неделю с момента установки маршрутизатора Netgear N900 несколько месяцев назад. Посоветовавшись немного, кто-то порекомендовал мне посмотреть журналы моего маршрутизатора. Когда я это сделал, я заметил довольно много DoS-атак, которые могут быть или не быть настоящими злонамеренными атаками. Ниже приведен фрагмент моих журналов за последние 2 дня.

  [DoS Attack: SYN/ACK Scan] из источника: 149.202.86.200, порт 80, четверг, 25 августа  , 2016 20:41:23 [DoS-атака: сканирование SYN/ACK] из источника: 37.130.228.68, порт 8080, четверг, 25 августа 2016 г. 19:48:16 [DoS-атака: TCP/UDP Chargen] из источника: 95.211  .214.74, порт 55113, четверг, 25 августа 2016 г. 19:35:28 [DoS-атака: сканирование RST] из источника: 45.58.74.129, порт 443, четверг, 25 августа 2016 г. 17:49:08 [DoS-атака: TCP /UDP Echo] из источника: 31.214.240.122, порт 43395, четверг, 25 августа 2016 г. 17:47:20 [DoS-атака: сканирование SYN/ACK] из источника: 76.74.255.69, порт 80, четверг, 25 августа 2016 г.  17:40:53 [DoS-атака: SYN/ACK-сканирование] из источника: 149.56.115.186, порт 44405, четверг, 25 августа 2016 г. 17:32:49 [DoS-атака: SYN/ACK-сканирование] из источника: 149.56.89.107  , порт 42324, четверг, 25 августа 2016 г. 17:30:40 [DoS-атака: сканирование RST] из источника: 45.58.74.161, порт 443, четверг, 25 августа 2016 г. 17:23:43 [DoS-атака: сканирование RST]  из источника: 1  08.160.172.193, порт 443, четверг, 25 августа 2016 г. 16:33:31 [DoS-атака: сканирование RST] из источника: 108.160.172.204, порт 443, четверг, 25 августа 2016 г. 15:47:23 [DoS-атака:  TCP/UDP Chargen] из источника: 179.43.144.17, порт 42698, четверг, 25 августа 2016 г. 12:57:00 [DoS-атака: сканирование SYN/ACK] из источника: 149.56.89.107, порт 42324, четверг, 25 августа,  2016 12:44:49 [DoS-атака: сканирование SYN/ACK] из источника: 141.101.121.251, порт 80, четверг, 25 августа 2016 г. 09:49:49 [DoS-атака: сканирование SYN/ACK] из источника: 151.80.  111.125, порт 12500, четверг, 25 августа 2016 г. 09:39:44 [DoS-атака: сканирование RST] из источника: 46.174.48.4, порт 80, четверг, 25 августа 2016 г. 08:30:12 [DoS-атака: TCP/ UDP Chargen] из источника: 95.211.214.74, порт 36643, четверг, 25 августа 2016 г. 08:29:42 [DoS-атака: сканирование SYN/ACK] из источника: 77.87.229.22, порт 443, четверг, 25 августа 2016 г. 07  : 35: 56 [DoS-атака: сканирование SYN/ACK] из источника: 52.220.81.105, порт 52200, четверг, 25 августа 2016 г. 07:23:51 [DoS-атака: сканирование SYN/ACK] из источника: 1  92.99.39.120, порт 1634, четверг, 25 августа 2016 г. 07:08:01 [DoS-атака: сканирование ACK] из источника: 49.199.13.51, порт 22, четверг, 25 августа 2016 г. 05:28:29 [DoS-атака:  TCP/UDP Chargen] от источника: 104.255.70.247, порт 39382, четверг, 25 августа 2016 г. 05:16:25 [DoS-атака: сканирование SYN/ACK] от источника: 46.105.200.74, порт 80, четверг, 25 августа,  2016 05:00:20 [DoS-атака: сканирование SYN/ACK] из источника: 162.144.140.49, порт 80, четверг, 25 августа 2016 г. 04:40:10 [DoS-атака: сканирование ACK] из источника: 208.59.216.16,  порт 80, четверг, 25 августа 2016 г., 04:16:50 [DoS-атака: сканирование ACK] от источника: 69.168.97. 78, порт 110, четверг, 25 августа 2016 г., 04:13:40 [DoS-атака: TCP/UDP Chargen] из источника: 184.105.139.101, порт 48327, четверг, 25 августа 2016 г. 01:17:53 [DoS-атака:  RST Scan] из источника: 101.227.155.95, порт 31414, четверг, 25 августа 2016 г. 01:09:39 [DoS Attack: ACK Scan] из источника: 173.203.153.81, порт 80, четверг, 25 августа 2016 г. 00:26  : 53 [DoS-атака: сканирование ACK] из источника: 173.203.153.81, порт 80, четверг, 25 августа 2016 г. 00:15:41 [DoS-атака: сканирование SYN/ACK] из источника: 77.87.229.22, порт 80, среда  , 24 августа 2016 г. 22:55:06 [DoS-атака: сканирование SYN/ACK] из источника: 162.144.140.49, порт 80, среда, 24 августа 2016 г. 22:25:30 [DoS-атака: сканирование ACK] из источника:  212.4.153.171, порт 443, среда, 24 августа 2016 г. 22:15:19 [DoS-атака: сканирование ACK] из источника: 54.224.162.27, порт 9543, среда, 24 августа 2016 г. 22:13:52 [DoS-атака:  ACK Scan] из источника: 54.224.162.27, порт 9543, среда, 24 августа 2016 г., 22:03:41 [DoS Attack: ACK Scan] из источника: 54.224.162.27, порт 11095, среда  ау, 24 августа 2016 г. 22:02:32 [DoS-атака: сканирование ACK] из источника: 54.224.162.27, порт 9543, среда, 24 августа 2016 г., 22:01:41 [DoS-атака: сканирование ACK] из источника: 54.224  .162.27, порт 11095, среда, 24 августа 2016 г. 22:00:31 [DoS-атака: сканирование ACK] из источника: 207.172.196.17, порт 443, среда, 24 августа 2016 г. 22:00:06 [DoS-атака: ACK  Сканирование] из источника: 31.13.71.1, порт 443, среда, 24 августа 2016 г. 22:00:02 [DoS-атака: сканирование ACK] из источника: 31.13.71.36, порт 443, среда, 24 августа 2016 г., 22:00:  01 [DoS-атака: сканирование ACK] из источника: 54.224.162.27, порт 9543, среда, 24 августа 2016 г. 21:59:41 [DoS-атака: сканирование ACK] из источника: 207.172.196.17, порт 443, среда, 24 августа  , 2016 21:59:17 [DoS-атака: сканирование ACK] из источника: 207.172.196.18, порт 443, среда, 24 августа 2016 г. 21:59:12 [DoS-атака: сканирование ACK] из источника: 31.13.71.3, порт  443, среда, 24 августа 2016 г. 21:59:02 [DoS-атака: сканирование ACK] из источника: 54.224.162.27, порт 11095, среда, 24 августа 2016 г. 21:58:31 [DoS-атака  : SYN/ACK Scan] из источника: 162.144.140.49, порт 80, среда, 24 августа 2016 г. 21:02:53 [DoS-атака: TCP/UDP Chargen] из источника: 185.94.111.1, порт 60830, среда, 24 августа  , 2016 20:09:49 [DoS-атака: сканирование RST] из источника: 192.162.101.60, порт 80, среда, 24 августа 2016 г. 19:09:09 [DoS-атака: сканирование SYN/ACK] из источника: 162.144.140.49  , порт 80, среда, 24 августа 2016 г. 18:36:44 [DoS-атака: сканирование SYN/ACK] из источника: 85.193.69.29, порт 80, среда, 24 августа 2016 г. 18:33:23 [DoS-атака: SYN /ACK Scan] из источника: 91.220.101.45, порт 1723, среда, 24 августа 2016 г., 18:28:47  

После быстрого поиска в Google по некоторым IP-адресам похоже, что в списке есть несколько IP-адресов Facebook и Dropbox. Многие из других, похоже, находятся в Германии, Великобритании, Канаде и т. Д. Не уверен, что это такое и вредны ли они, но я начинаю верить, что частота этих «атак» — это то, что заставляет мой модем запереть. Кто-нибудь знает, вредоносные ли это атаки? Как я могу решить такие проблемы, если мой модем заблокирован? В маршрутизаторе есть настройка, разрешающая DoS, но я крайне не решаюсь это сделать, особенно если кто-то действительно пытается проникнуть в мою сеть. FWIW У меня около 30 проводных и беспроводных устройств в моей сети (пара ноутбуков, смартфонов, планшетов, IP-камеры, колонки Sonos, продукты Amazon Echo, Nest, другие продукты для умного дома и т. Д.). На самом деле я просто пытаюсь понять, почему мой модем зависает после покупки этого нового маршрутизатора. Считать, что эти DoS-атаки могут быть виноваты. Любая помощь будет принята с благодарностью!


Маршрутизаторы SOHO (я видел это по крайней мере на dlink и netgear ) любят отображать КРИТИЧЕСКИЕ драматические журналы за 24 часа/миссию, подобные этим. Попробуйте вместо этого установить ddwrt или что-то подобное на этот маршрутизатор. Затем установите tcpdump, подключитесь к маршрутизатору через ssh (putty -log somethingAwry.log 192.168.0.1 (или любой другой IP-адрес вашего маршрутизатора) и произнесите заклинание tcpdump -ni eth0 dst host yourPublicIP — любой Здесь будет показано наводнение. В противном случае попробуйте eth1 , wan0 или найдите соответствующий интерфейс с помощью заклинания ifconfig -a .Если вас затопили, свяжитесь с вашим провайдером и дайте ему somethingAwry.log — сотрудники провайдеров IP-адресов, связанных с лавинной рассылкой, быстро отреагируют на любые письма от вашего провайдера о злоупотреблениях. Редактировать: записи в журнале в некоторой степени вызваны сканированием портов, это делают как боты, так и люди, которые ищут конкретные сервисы для атаки. они сканируют все. «syn» флуд обычно представляет собой всего несколько синхронных пакетов для полуоткрытого сканирования. google «strobe» и «nmap».


ACK от таких портов, как 443, 80 и других хорошо известных Конечные точки ervice — это просто ответы от веб-сайтов и сервисов, которые вы посещаете. Это не зло. Тот факт, что ваш маршрутизатор запутался в этом и зависает, свидетельствует о том, что он плохо спроектирован, и прошивку следует обновить или заменить.

Поскольку вопрос касается наличия большого количества устройств, может быть что-то, что делает какое-то конкретное устройство, что особенно беспокоит маршрутизатор. Не все протоколы одинаково хорошо обрабатываются этими устройствами. Подход может заключаться в систематическом отключении отдельных устройств и проверке, стабилизируется ли поведение маршрутизатора.

2


Между всеми этими записями проходят минуты, а в некоторых случаях часы , поэтому это не будет квалифицировать это как атаку и не должно повлиять на ваш роутер.. Это нормально, если вы проведете небольшое сканирование в поисках открытых портов, если вы установите веб-сервер на порт 80, вы, вероятно, получите запросы к wordpress phpmyadmin и другим часто используемым службам после того, как сканирование порта 80 покажет его как открытый. В большинстве случаев это дети, запускающие скрипты, пытающиеся найти уязвимые серверы для игры.

Если бы это была атака DOS, вы бы увидели сотни запросов в секунду, а если бы это была DDOS, тысячи запросов второй.

Оцените статью
motary.ru
Добавить комментарий