Los ataques de Constant Dos en mi enrutador parecen estar eliminando mi conexión a Internet

2

Así que soy un novato aquí y he estado investigando por qué mi internet (módem por cable) se bloquea una o dos veces por semana desde que instalé un enrutador Netgear N900 hace unos meses. Después de preguntar un poco, alguien me recomendó que mirara los registros de mi enrutador. Cuando hice eso, noté una gran cantidad de ataques DoS, que pueden ser reales o no, ataques maliciosos. A continuación se muestra un fragmento de mis registros de los últimos 2 días.

[DoS Attack: SYN/ACK Scan] from source: 149.202.86.200, port 80, Thursday, August 25, 2016 20:41:23
[DoS Attack: SYN/ACK Scan] from source: 37.130.228.68, port 8080, Thursday, August 25, 2016 19:48:16
[DoS Attack: TCP/UDP Chargen] from source: 95.211.214.74, port 55113, Thursday, August 25, 2016 19:35:28
[DoS Attack: RST Scan] from source: 45.58.74.129, port 443, Thursday, August 25, 2016 17:49:08
[DoS Attack: TCP/UDP Echo] from source: 31.214.240.122, port 43395, Thursday, August 25, 2016 17:47:20
[DoS Attack: SYN/ACK Scan] from source: 76.74.255.69, port 80, Thursday, August 25, 2016 17:40:53
[DoS Attack: SYN/ACK Scan] from source: 149.56.115.186, port 44405, Thursday, August 25, 2016 17:32:49
[DoS Attack: SYN/ACK Scan] from source: 149.56.89.107, port 42324, Thursday, August 25, 2016 17:30:40
[DoS Attack: RST Scan] from source: 45.58.74.161, port 443, Thursday, August 25, 2016 17:23:43
[DoS Attack: RST Scan] from source: 108.160.172.193, port 443, Thursday, August 25, 2016 16:33:31
[DoS Attack: RST Scan] from source: 108.160.172.204, port 443, Thursday, August 25, 2016 15:47:23
[DoS Attack: TCP/UDP Chargen] from source: 179.43.144.17, port 42698, Thursday, August 25, 2016 12:57:00
[DoS Attack: SYN/ACK Scan] from source: 149.56.89.107, port 42324, Thursday, August 25, 2016 12:44:49
[DoS Attack: SYN/ACK Scan] from source: 141.101.121.251, port 80, Thursday, August 25, 2016 09:49:49
[DoS Attack: SYN/ACK Scan] from source: 151.80.111.125, port 12500, Thursday, August 25, 2016 09:39:44
[DoS Attack: RST Scan] from source: 46.174.48.4, port 80, Thursday, August 25, 2016 08:30:12
[DoS Attack: TCP/UDP Chargen] from source: 95.211.214.74, port 36643, Thursday, August 25, 2016 08:29:42
[DoS Attack: SYN/ACK Scan] from source: 77.87.229.22, port 443, Thursday, August 25, 2016 07:35:56
[DoS Attack: SYN/ACK Scan] from source: 52.220.81.105, port 52200, Thursday, August 25, 2016 07:23:51
[DoS Attack: SYN/ACK Scan] from source: 192.99.39.120, port 1634, Thursday, August 25, 2016 07:08:01
[DoS Attack: ACK Scan] from source: 49.199.13.51, port 22, Thursday, August 25, 2016 05:28:29
[DoS Attack: TCP/UDP Chargen] from source: 104.255.70.247, port 39382, Thursday, August 25, 2016 05:16:25
[DoS Attack: SYN/ACK Scan] from source: 46.105.200.74, port 80, Thursday, August 25, 2016 05:00:20
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Thursday, August 25, 2016 04:40:10
[DoS Attack: ACK Scan] from source: 208.59.216.16, port 80, Thursday, August 25, 2016 04:16:50
[DoS Attack: ACK Scan] from source: 69.168.97.78, port 110, Thursday, August 25, 2016 04:13:40
[DoS Attack: TCP/UDP Chargen] from source: 184.105.139.101, port 48327, Thursday, August 25, 2016 01:17:53
[DoS Attack: RST Scan] from source: 101.227.155.95, port 31414, Thursday, August 25, 2016 01:09:39
[DoS Attack: ACK Scan] from source: 173.203.153.81, port 80, Thursday, August 25, 2016 00:26:53
[DoS Attack: ACK Scan] from source: 173.203.153.81, port 80, Thursday, August 25, 2016 00:15:41
[DoS Attack: SYN/ACK Scan] from source: 77.87.229.22, port 80, Wednesday, August 24, 2016 22:55:06
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Wednesday, August 24, 2016 22:25:30
[DoS Attack: ACK Scan] from source: 212.4.153.171, port 443, Wednesday, August 24, 2016 22:15:19
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 22:13:52
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 22:03:41
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 11095, Wednesday, August 24, 2016 22:02:32
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 22:01:41
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 11095, Wednesday, August 24, 2016 22:00:31
[DoS Attack: ACK Scan] from source: 207.172.196.17, port 443, Wednesday, August 24, 2016 22:00:06
[DoS Attack: ACK Scan] from source: 31.13.71.1, port 443, Wednesday, August 24, 2016 22:00:02
[DoS Attack: ACK Scan] from source: 31.13.71.36, port 443, Wednesday, August 24, 2016 22:00:01
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 21:59:41
[DoS Attack: ACK Scan] from source: 207.172.196.17, port 443, Wednesday, August 24, 2016 21:59:17
[DoS Attack: ACK Scan] from source: 207.172.196.18, port 443, Wednesday, August 24, 2016 21:59:12
[DoS Attack: ACK Scan] from source: 31.13.71.3, port 443, Wednesday, August 24, 2016 21:59:02
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 11095, Wednesday, August 24, 2016 21:58:31
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Wednesday, August 24, 2016 21:02:53
[DoS Attack: TCP/UDP Chargen] from source: 185.94.111.1, port 60830, Wednesday, August 24, 2016 20:09:49
[DoS Attack: RST Scan] from source: 192.162.101.60, port 80, Wednesday, August 24, 2016 19:09:09
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Wednesday, August 24, 2016 18:36:44
[DoS Attack: SYN/ACK Scan] from source: 85.193.69.29, port 80, Wednesday, August 24, 2016 18:33:23
[DoS Attack: SYN/ACK Scan] from source: 91.220.101.45, port 1723, Wednesday, August 24, 2016 18:28:47

Después de hacer una búsqueda rápida en Google en algunas de las IP, parece que hay algunas IP de Facebook y Dropbox en la lista. Muchos de los otros parecen estar ubicados en Alemania, Reino Unido, Canadá, etc. No estoy seguro de qué son o si son dañinos, pero estoy empezando a creer que la frecuencia de estos "ataques" es lo que está causando que mi módem encerrar. ¿Alguien sabe si estos son ataques dañinos? ¿Cómo puedo resolver este tipo de cosas al bloquear mi módem? Hay una configuración en el enrutador para permitir DoS pero tengo muchas dudas de hacerlo, especialmente si alguien está intentando ingresar a mi red. FWIW Tengo aproximadamente 30 dispositivos cableados e inalámbricos en mi red (un par de computadoras portátiles, teléfonos inteligentes, tabletas, cámaras IP, altavoces Sonos, Amazon Echo, productos Nest, otros productos para el hogar inteligente, etc.). Realmente estoy tratando de averiguar por qué mi módem sigue bloqueando desde que compré este nuevo enrutador. Pensar que estos ataques DoS podrían ser los culpables. Cualquier ayuda sería muy apreciada!

    
pregunta King Kona 26.08.2016 - 03:39
fuente

3 respuestas

2

A los enrutadores SOHO (los he visto en dlink y netgear por lo menos) les gusta mostrar registros de drama de 24 horas / misión CRITICAL como esos. Intenta instalar ddwrt o algo similar en ese enrutador. Luego instale tcpdump, conéctese al enrutador a través de ssh (putty -log somethingAwry.log 192.168.0.1 (o la ip que use el enrutador) y lance el hechizo tcpdump -ni eth0 dst host yourPublicIP : aquí aparecerá cualquier inundación. De lo contrario, pruebe eth1 , wan0 , o encuentre la interfaz adecuada usando el hechizo ifconfig -a . Si está siendo inundado, contáctese con su ISP y bríndeles algoAwry.log: el personal de las ISP de cualquier inundación ips reaccionará rápidamente a cualquier correo electrónico de su ISP sobre abuso. . Edición: las entradas del registro están en cierta medida causadas por el escaneo de puertos, que es realizado tanto por robots como por humanos que buscan servicios específicos para atacar. Ellos escanean todo. la inundación 'syn' es generalmente solo unos pocos paquetes syn para un escaneo medio abierto. google 'strobe' y 'nmap'.

    
respondido por el user400344 26.08.2016 - 04:32
fuente
0

Los ACK de puertos como 443, 80 y otros puntos finales de servicio conocidos son solo respuestas de los sitios web y servicios que está visitando. No es malicioso. El hecho de que su enrutador esté confundido acerca de esto, y se esté bloqueando, es una indicación de que está mal diseñado, y el firmware debe actualizarse o reemplazarse.

Dado que la pregunta alude a la presencia de muchos dispositivos, puede haber algo que algún dispositivo específico esté haciendo que sea particularmente preocupante para el enrutador. No todos los protocolos son manejados con gracia equivalente por estos dispositivos. Un enfoque puede ser apagar sistemáticamente los dispositivos individuales y ver si el comportamiento del enrutador se estabiliza.

    
respondido por el Jonah Benton 26.08.2016 - 04:22
fuente
0

Son minutos y, en algunos casos, horas entre todas estas entradas, por lo que no lo calificaremos como un ataque y no debería tener ningún impacto en su enrutador. Es normal obtener algunas exploraciones de luz en busca de puertos abiertos; si instala un servidor web en el puerto 80, probablemente recibirá solicitudes para wordpress phpmyadmin y otros servicios comunes después de que la exploración del puerto 80 la haya mostrado como abierta. En la mayoría de los casos, es que los niños ejecutan scripts que intentan encontrar servidores vulnerables para jugar.

Si se tratara de un ataque de DOS, vería cientos de solicitudes por segundo y si fuera DDOS, miles de solicitudes por segundo.

    
respondido por el rypskar 26.08.2016 - 14:29
fuente

Lea otras preguntas en las etiquetas