¿Es seguro ignorar los ataques DoS en mi enrutador?

5

Hay varias entradas en el archivo de registro de mi enrutador que muestran los últimos intentos de DoS en algunos de sus puertos. Se ven así:

[DoS Attack: ACK Scan] from source: 213.61.245.234, port 80, Friday, November 21,2014 11:37:59
[DoS Attack: ACK Scan] from source: 80.239.159.8, port 443, Friday, November 21,2014 11:18:09
...
[DoS Attack: RST Scan] from source: 195.39.197.142, port 30732, Wednesday, November 19,2014 22:12:35
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:56:38
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:56:33
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:56:06
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:56:01
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:50
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:44
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:38
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:36
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:36
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:30
[DoS Attack: RST Scan] from source: 128.199.49.106, port 18668, Wednesday, November 19,2014 15:06:46

Intenté escanear la IP pública de mi enrutador en busca de puertos abiertos:

sudo nmap <my-public-ip> -Pn --reason --top-ports 10

Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-21 16:02 CET
Nmap scan report for <public-hostname> (<my-public-ip>)
Host is up, received user-set.
PORT     STATE    SERVICE       REASON
21/tcp   filtered ftp           no-response
22/tcp   filtered ssh           no-response
23/tcp   filtered telnet        no-response
25/tcp   filtered smtp          no-response
80/tcp   filtered http          no-response
110/tcp  filtered pop3          no-response
139/tcp  filtered netbios-ssn   no-response
443/tcp  filtered https         no-response
445/tcp  filtered microsoft-ds  no-response
3389/tcp filtered ms-wbt-server no-response

Tengo curiosidad, ¿cómo sabe mi enrutador que cada uno es un ataque DoS en primer lugar? ¿Son estos casos de usar nmap agresivamente de alguna manera? ¿Y debería preocuparme por estos ataques?

    
pregunta 21.11.2014 - 15:12
fuente

3 respuestas

8

Al buscar estas direcciones IP en Google se obtienen los siguientes resultados:

Dado que Akamai es un proveedor de contenido (CDN) que supuestamente ha tenido Facebook como cliente, Parece que esto podría no ser un ataque real de DOS, y que la protección de su enrutador es exagerada. ¿Es posible que muchos de sus empleados / familiares usen Facebook, lo que hace que muchas de las respuestas de Facebook (legítimas) lleguen a su enrutador? El enrutador puede ver esto como un ataque de DOS, cuando en realidad no lo es. Esto se respalda por el hecho de que los 'escaneos' provienen del puerto 443 origen , que es el puerto TLS (HTTPS). Estás conectado a través de HTTPS a Facebook y te responden.

Las otras direcciones IP enumeradas en su pregunta parecen un poco más inestables, pero nuevamente, este puede ser un sitio legítimo que está enviando muchas respuestas (muchos CSS, JS, etc.). Sin embargo, los que listan los puertos 30372 y 18668 son muy cambiantes. Estos pueden ser parte de una exploración masiva o simplemente una coincidencia. No me preocuparía por ellos si no aparecen regularmente.

    
respondido por el Michael 21.11.2014 - 17:48
fuente
4

Un paquete cada 15 segundos no constituye un ataque DoS.

Usted dice que este es un enrutador Netgear básico. Estos enrutadores generalmente se anuncian con características especiales de firmware para protegerlo de las "amenazas de Internet"; lo que realmente tienen es un enrutador NAT configurado para registrar anomalías en el lenguaje más alarmante posible. Las entradas del registro que está viendo son el resultado de una IDS primitiva que dice "¡Mira! ¡Estoy haciendo algo! I ' Estoy haciendo algo! " para intentar convencerte de que existe una amenaza real de la que te protege.

88.221.82.74 es parte de la red de entrega de contenido de Akamai, mientras que 31.13.91.117 es parte de la red de Facebook. Los TCP ACK en el puerto 443 son probablemente tráfico legítimo (ACK retrasados de paquetes que ya se han reenviado, u otros fallos en Internet). Es probable que las otras entradas del registro sean retrodispersas de ataques DDoS, portcans automáticos a gran escala y otros ruidos de fondo de Internet.

    
respondido por el Mark 22.11.2014 - 00:40
fuente
1

No puedo agregar un comentario en este momento o lo haría, pero buscaría en el puerto 49152 abierto. Existe una vulnerabilidad conocida dentro de los controladores de administración de la placa base que permite que las contraseñas de administrador se obtengan con bastante facilidad.

enlace

En el momento en que el escaneo de nmap muestra su red interna, recomendaría ejecutar nmap contra su dirección IP externa proporcionada por su proveedor de servicios de Internet. Puedes obtenerlo desde

enlace

En lo que respecta a su pregunta real, parece que lo están golpeando, pero también podría ser un análisis masivo en el que están incluidos. Su enrutador está eliminando las conexiones, por lo que no necesita preocuparse por nada.

    
respondido por el Kurtis Brown 21.11.2014 - 15:47
fuente

Lea otras preguntas en las etiquetas