Denegar el acceso del atacante a mi enrutador

4

Estaba experimentando una conectividad muy baja en mi red inalámbrica, así que revisé los registros enrutador . Esto es lo que vi:

Jul 09 11:07:24 Per-source ACK Flood Attack Detect (ip=74.125.130.129) Packet Dropped
Jul 09 11:07:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:06:24 Per-source ACK Flood Attack Detect (ip=74.125.200.189) Packet Dropped
Jul 09 11:06:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:05:24 Port Scan Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:05:24 Per-source ACK Flood Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:05:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:04:24 Per-source ACK Flood Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:04:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:03:24 Per-source ACK Flood Attack Detect (ip=74.125.200.189) Packet Dropped

....


Jul 09 10:40:24 Per-source UDP Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:40:24 Per-source ACK Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:40:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:40:24 Whole System UDP Flood Attack from WAN Rule:Default deny
Jul 09 10:39:24 Per-source ACK Flood Attack Detect (ip=74.125.200.95) Packet Dropped
Jul 09 10:39:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:38:24 Per-source UDP Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:38:24 Per-source ACK Flood Attack Detect (ip=74.125.130.81) Packet Dropped
Jul 09 10:38:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:38:24 Whole System UDP Flood Attack from WAN Rule:Default deny

Este es un registro parcial. Como se puede ver, la dirección IP registrada como atacante sigue cambiando. Sospecho que ACK Flood Attack está matando mi conectividad a Internet, ¿estoy en lo cierto?

Intenté bloquear estas direcciones, pero la página de administración del enrutador solo permite bloquear los ips que caen en la misma subred. ¿Cómo bloqueo este ataque? Además, ¿este ataque de inundación cuenta en mi uso de ancho de banda de Internet?

Qué acciones deben tomarse para

  1. Asegurar mi enrutador de tales conexiones (ya está eliminando esos paquetes, así que supongo que es seguro, pero aún así me está negando la conectividad externa, que es contra lo que quiero protegerme).
  2. En caso de que el ancho de banda se contabilice en función de mi uso, como lo ve mi ISP, que es facturable para mí, no quiero pagar.

Nota: revisé algunas de estas IP y parece ser la compañía para la que trabajo. Eso me hace repensar, ¿es la razón de la baja conectividad?

    
pregunta 0xc0de 09.07.2015 - 08:00
fuente

2 respuestas

1

Al parecer, este tráfico proviene de la red de Google:

  

NetRange: 74.125.0.0 - 74.125.255.255

     

CIDR: 74.125.0.0/16

     

NetName: GOOGLE

Recomiendo enviar un correo electrónico de abuso con los registros adjuntos a:

  

OrgAbuseEmail: [email protected]

¿Está ejecutando algún servicio? ¿Podría ser un bot de Google rastrearte demasiado rápido? (Al menos para la parte ACK de los registros)

    
respondido por el Jeroen - IT Nerdbox 09.07.2015 - 09:34
fuente
1

@ Jeroen-it-nerdbox tiene razón y ese es mi curso de acción recomendado también. Sin embargo, intentaré contribuir a una situación más general (cuando no sea una empresa legítima). Aún así, la situación de ancho de banda es algo que necesita consultar con su ISP.

En cuanto al ataque en sí, cuando una solicitud proviene de una red externa, primero llega al enrutador, que intenta asignar la solicitud a un dispositivo conectado a ella, esto se denomina reenvío de puertos. Si no hay un dispositivo disponible para tomar esta solicitud (no tiene ningún servidor web o tiene desactivado el reenvío de puertos), el firewall del enrutador debe abandonar el paquete. De hecho, un ataque de inundación ACK no está dirigido a encontrar vulnerabilidades en un servidor web o su computadora portátil, está destinado a inundar una red y hacer que no responda, por lo que, dependiendo del tamaño del ataque, esto puede tener un efecto muy tangible en el rendimiento de su red.

Algunos enrutadores tienen una protección llamada Anti Spoofing, debido a que un ataque ACK falsifica la IP de retorno, este mecanismo es efectivo contra este tipo de ataque. Le sugiero que consulte la configuración de su enrutador y, si está disponible, habilítelo. Además, algunos enrutadores permiten la administración remota, sugiero deshabilitar que a pesar de que este ataque no pretende explotar los privilegios.

Otra forma de proteger su red si su enrutador no ayuda, es obtener un conmutador barato, la mayoría de los conmutadores tienen funciones de limitación de velocidad, inspección profunda de paquetes e incluso filtrado de IP falso.

    
respondido por el Purefan 09.07.2015 - 09:44
fuente

Lea otras preguntas en las etiquetas