Estaba experimentando una conectividad muy baja en mi red inalámbrica, así que revisé los registros enrutador . Esto es lo que vi:
Jul 09 11:07:24 Per-source ACK Flood Attack Detect (ip=74.125.130.129) Packet Dropped
Jul 09 11:07:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:06:24 Per-source ACK Flood Attack Detect (ip=74.125.200.189) Packet Dropped
Jul 09 11:06:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:05:24 Port Scan Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:05:24 Per-source ACK Flood Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:05:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:04:24 Per-source ACK Flood Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:04:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:03:24 Per-source ACK Flood Attack Detect (ip=74.125.200.189) Packet Dropped
....
Jul 09 10:40:24 Per-source UDP Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:40:24 Per-source ACK Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:40:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:40:24 Whole System UDP Flood Attack from WAN Rule:Default deny
Jul 09 10:39:24 Per-source ACK Flood Attack Detect (ip=74.125.200.95) Packet Dropped
Jul 09 10:39:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:38:24 Per-source UDP Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:38:24 Per-source ACK Flood Attack Detect (ip=74.125.130.81) Packet Dropped
Jul 09 10:38:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:38:24 Whole System UDP Flood Attack from WAN Rule:Default deny
Este es un registro parcial. Como se puede ver, la dirección IP registrada como atacante sigue cambiando. Sospecho que ACK Flood Attack
está matando mi conectividad a Internet, ¿estoy en lo cierto?
Intenté bloquear estas direcciones, pero la página de administración del enrutador solo permite bloquear los ips que caen en la misma subred. ¿Cómo bloqueo este ataque? Además, ¿este ataque de inundación cuenta en mi uso de ancho de banda de Internet?
Qué acciones deben tomarse para
- Asegurar mi enrutador de tales conexiones (ya está eliminando esos paquetes, así que supongo que es seguro, pero aún así me está negando la conectividad externa, que es contra lo que quiero protegerme).
- En caso de que el ancho de banda se contabilice en función de mi uso, como lo ve mi ISP, que es facturable para mí, no quiero pagar.
Nota: revisé algunas de estas IP y parece ser la compañía para la que trabajo. Eso me hace repensar, ¿es la razón de la baja conectividad?