Repetido "Dos Attack" desde IP remotas

Navega tus respuestas
0

He tenido algunos problemas extraños con una red doméstica, y me parece que tengo una vulnerabilidad que no conozco. Sin embargo, para ser honesto, no soy un tipo grande de redes / seguridad y me siento fuera de mi alcance. Espero que alguien más pueda ayudarme a averiguar qué está pasando.

Durante al menos los últimos dos meses he estado viendo entradas extrañas en los registros de mi enrutador. Básicamente, al menos cada pocos días, veo una entrada en los registros de mi enrutador que dice "Dos Attack" y "FIN Scan" / "Ack Scan" o "Smurf". A veces, las IP remotas etiquetadas como la fuente del ataque aparecen en whois como propiedad de Google, o en una compañía de publicidad llamada OpenX.

Al principio pensé, bueno, si mi enrutador solo registra las entradas, entonces debe bloquearlas, así que está bien. Pero ahora no estoy tan seguro. Eche un vistazo a una serie reciente de entradas de registro, por ejemplo: 

[DoS attack: Smurf] attack packets in last 20 sec from ip [192.168.1.6], 15:56:22

[DHCP IP: (192.168.1.2)] to MAC address 33:33:33:33, 12:33:00
[DHCP IP: (192.168.1.2)] to MAC address 33:33:33:33, 12:32:49

[DoS attack: FIN Scan] attack packets in last 20 sec from ip [173.241.250.212], 10:45:25
[DoS attack: FIN Scan] attack packets in last 20 sec from ip [173.241.250.143], 10:45:25

[DHCP IP: (192.168.1.6)] to MAC address 22:22:22:222, 09:11:05

Lo que me preocupa de una entrada de registro como esta es que los "paquetes de ataque" cambian la dirección IP, no solo a uno en mi red interna, sino a la computadora que había usado esa noche ( estaba dormido cuando se registraron los paquetes de ataque y mi computadora estaba supuestamente dormida ). Eso me hace pensar que los "paquetes de ataque" de alguna manera le permitieron a alguien acceder a mi sistema o mi red. Lo que es aún más extraño para mí es que, mientras esto ha estado ocurriendo desde hace un tiempo, las entradas más recientes que muestran este tipo de conmutador de IP de remoto a local fueron para una máquina Mac, mientras que las anteriores estaban relacionadas con una Windows físicamente diferente máquina.

Antes de esta última entrada, tomé algunas medidas para proteger mi red por si acaso. Además de actualizar mi enrutador, todas las otras máquinas en la red han sido DBAN y Windows se ha reinstalado nuevamente, actualicé mi módem a su versión más nueva, deshabilité la radio inalámbrica completamente en mi enrutador para que no haya conexión inalámbrica Red y ninguna red inalámbrica para huéspedes, y también cambié mi IP externa / pública con mi proveedor de servicios.

¿Alguien ha visto algo como esto antes? ¿Estoy investigando un problema que no existe, o es posible que sea el objetivo de algún robot o ataque?

¡Gracias por tu tiempo!

EDIT Se aclaró un poco de lenguaje y que existían múltiples "IP de origen" para los registros de ataque.

    
pregunta SkyEx 15.05.2016 - 06:29
fuente

2 respuestas

1

Desconecte la dirección IP "192.168.1.6" de su enrutador. Si la puerta de enlace de su enrutador es "192.168.1.1", el registro de ataque de dos de 192.168.1.6 es otra computadora conectada a su enrutador. Si no sabe cómo desactivarlo en la configuración del enrutador, configure una regla en su firewall para bloquear el tráfico de 192.168.1.6.

Si de hecho está experimentando un ataque DoS, lo cual creo que es altamente improbable, hay muy poco que se pueda hacer para evitarlo, para decirlo sin rodeos, si un hacker desea hacer que su conexión sea inutilizable , no hay forma de detenerlo: está bajando: no importa el enrutador que use, lo derribarán.

La pregunta es ¿por qué querría desperdiciar recursos valiosos dirigidos a usted? ¿Cuál es el motivo, dónde está el beneficio?

En años pasados, los ataques DoS se podían hacer de manera muy simple, pero los fabricantes de equipos han revisado su código y han cerrado todos los ataques más simples y con menos recursos, por lo que para que un ataque DoS sea exitoso, se necesita una red de bots. , un ejército de sistemas comprometidos, que requiere tiempo para construirse y que ningún pirata informático va a arriesgar la exposición de un consumidor.

exploraciones ACK & Los análisis FIN, ya que los ataques DoS son explotaciones históricas, incapaces de apagar un enrutador moderno: la CPU no debería responder a ellos, el proceso NAT debe descartarlos, a menos que se produzcan en los puertos que ha reenviado.

(EDITAR) Un proceso típico de detección de DoS no responderá a un solo 'ataque', es normal que un enrutador tenga un umbral establecido, por ejemplo. 20 por segundo, pero esto no le dice exactamente a qué velocidad están llegando. Yo diría que si el enrutador puede procesar el mensaje y soltarlo, y si los registros muestran los mensajes de 'Ataque DoS' en minutos, entonces el enrutador no debe ser estresado de ninguna manera simplemente por el volumen de tráfico, ya que ese nivel de tráfico es bastante insignificante.

Si el enrutador está reaccionando mal a algo, por ejemplo. un mensaje con formato incorrecto entonces tal vez esto podría afectar el rendimiento del enrutador, pero eso es solo una suposición de mi parte. Si tuviera que hacer la pregunta de ingeniería, esperaría que la respuesta estuviera en la línea de "no que sepamos". Necesitarían información bastante detallada para poder investigar.

Si los ataques DoS son bastante regulares, quizás pueda capturar el tráfico usando una utilidad de captura de paquetes, por ejemplo. Microsoft Network Monitor o Wireshark. Conecte una computadora directamente al módem y capture el tráfico durante el período de tiempo que esperaría que aparezcan los ataques DoS. También debe intentar mantener la dirección MAC de su WAN para que no se le asigne una dirección IP diferente cuando está conectado al módem, esto se hace en la configuración de WAN del enrutador seleccionando la opción "Usar dirección MAC de la computadora". Una cosa de la que no estoy completamente seguro es si el sistema operativo de la computadora podría eliminar paquetes mal formados antes de que la herramienta de captura de paquetes pueda verlo. Por cierto, cambiar la dirección MAC de esta manera con un servicio de cable (lo opuesto a lo que sugiero aquí) a menudo hará que los ataques DoS desaparezcan, al menos temporalmente.

    
respondido por el Yokai 15.05.2016 - 08:30
fuente
0

para aclarar, esta actividad es normal, también veo esto en otros enrutadores. Tenía miedo similar, hizo investigación. Es un falso positivo generado por conjuntos de reglas demasiado amplios.

    
respondido por el iGNEOS 15.05.2016 - 09:57
fuente

Lea otras preguntas en las etiquetas

¿Es seguro devolver un JWT a un usuario que ya ha iniciado sesión? acceso FTP en lugar de SFTP [duplicado]