Detectar posible intento de ataque al enrutador

Navega tus respuestas
0

Tengo un gran problema con mi enrutador: Sagem F @ st 3202.

Aquí hay algunos eventos de registro de seguridad:

  

Tráfico entrante | Bloqueado - Política predeterminada | TCP   XX.XX.XX.XXX:80->XX.X.XX.XX:51707 en ppp0 [repetido 3 veces, la última vez el 23 de abril 02:32:08 2014]

     

Tráfico entrante | Bloqueado - Protección contra suplantación de identidad | IGMP   192.168.4.1- > 224.0.0.1 en eth2

     

Tráfico entrante | Bloqueado | Paquete inválido en conexión, tcp   se sospecha que hay un ataque de reinicio: TCP [repetido 2 veces, la última vez el 23 de abril   02:35:02 2014]

Los eventos se repiten todo el tiempo durante las últimas 24 horas.

¿Podrías ayudarme a identificar el ataque? Sería muy útil definir al atacante. ¿Es posible que sea algún tipo de wardriving? ¿Es un intento aleatorio o planeado?

    
pregunta David 23.04.2014 - 03:45
fuente

1 respuesta

2

Podrías ir y hacer una búsqueda de GeoIP en la dirección IP, dado que no está falsificada (lo que es 9/10 veces). Si la IP no está saltando demasiado, podría crear una regla de caída para bloquear el tráfico de esa IP. Incluso es posible que pueda eliminar la subred dado que todas las IP de origen están en esa subred. Parece que te están lanzando ataques aleatorios. No hay mucha información para continuar con esta publicación. Tal vez usted tiene más entradas de registro con información diferente? ¿Hay alguna dirección IP que pueda proporcionar que no sea la suya?

    
respondido por el PTW-105 23.04.2014 - 04:03
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la diferencia entre el Control de Acceso Roto y la referencia de Objeto Directo Inseguro? [cerrado] ¿Cómo instalar Metasploit en Mavericks + MacPorts? [cerrado]