web-dev-qa-db-ja.com

ルーターに対する継続的なDos攻撃がインターネット接続を妨害しているようです

だから私はここの初心者で、数ヶ月前にNetgear N900ルーターをインストールしてから、インターネット(ケーブルモデム)が週に約1〜2回ハングする理由を調査しています。少し聞いてみたら、ルーターのログを見てすすめられました。私がそれをしたとき、DoS攻撃のかなりの束に気づきました。それは、実際の悪意のある攻撃である場合とそうでない場合があります。以下は、過去2日間の私のログのスニペットです。

[DoS Attack: SYN/ACK Scan] from source: 149.202.86.200, port 80, Thursday, August 25, 2016 20:41:23
[DoS Attack: SYN/ACK Scan] from source: 37.130.228.68, port 8080, Thursday, August 25, 2016 19:48:16
[DoS Attack: TCP/UDP Chargen] from source: 95.211.214.74, port 55113, Thursday, August 25, 2016 19:35:28
[DoS Attack: RST Scan] from source: 45.58.74.129, port 443, Thursday, August 25, 2016 17:49:08
[DoS Attack: TCP/UDP Echo] from source: 31.214.240.122, port 43395, Thursday, August 25, 2016 17:47:20
[DoS Attack: SYN/ACK Scan] from source: 76.74.255.69, port 80, Thursday, August 25, 2016 17:40:53
[DoS Attack: SYN/ACK Scan] from source: 149.56.115.186, port 44405, Thursday, August 25, 2016 17:32:49
[DoS Attack: SYN/ACK Scan] from source: 149.56.89.107, port 42324, Thursday, August 25, 2016 17:30:40
[DoS Attack: RST Scan] from source: 45.58.74.161, port 443, Thursday, August 25, 2016 17:23:43
[DoS Attack: RST Scan] from source: 108.160.172.193, port 443, Thursday, August 25, 2016 16:33:31
[DoS Attack: RST Scan] from source: 108.160.172.204, port 443, Thursday, August 25, 2016 15:47:23
[DoS Attack: TCP/UDP Chargen] from source: 179.43.144.17, port 42698, Thursday, August 25, 2016 12:57:00
[DoS Attack: SYN/ACK Scan] from source: 149.56.89.107, port 42324, Thursday, August 25, 2016 12:44:49
[DoS Attack: SYN/ACK Scan] from source: 141.101.121.251, port 80, Thursday, August 25, 2016 09:49:49
[DoS Attack: SYN/ACK Scan] from source: 151.80.111.125, port 12500, Thursday, August 25, 2016 09:39:44
[DoS Attack: RST Scan] from source: 46.174.48.4, port 80, Thursday, August 25, 2016 08:30:12
[DoS Attack: TCP/UDP Chargen] from source: 95.211.214.74, port 36643, Thursday, August 25, 2016 08:29:42
[DoS Attack: SYN/ACK Scan] from source: 77.87.229.22, port 443, Thursday, August 25, 2016 07:35:56
[DoS Attack: SYN/ACK Scan] from source: 52.220.81.105, port 52200, Thursday, August 25, 2016 07:23:51
[DoS Attack: SYN/ACK Scan] from source: 192.99.39.120, port 1634, Thursday, August 25, 2016 07:08:01
[DoS Attack: ACK Scan] from source: 49.199.13.51, port 22, Thursday, August 25, 2016 05:28:29
[DoS Attack: TCP/UDP Chargen] from source: 104.255.70.247, port 39382, Thursday, August 25, 2016 05:16:25
[DoS Attack: SYN/ACK Scan] from source: 46.105.200.74, port 80, Thursday, August 25, 2016 05:00:20
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Thursday, August 25, 2016 04:40:10
[DoS Attack: ACK Scan] from source: 208.59.216.16, port 80, Thursday, August 25, 2016 04:16:50
[DoS Attack: ACK Scan] from source: 69.168.97.78, port 110, Thursday, August 25, 2016 04:13:40
[DoS Attack: TCP/UDP Chargen] from source: 184.105.139.101, port 48327, Thursday, August 25, 2016 01:17:53
[DoS Attack: RST Scan] from source: 101.227.155.95, port 31414, Thursday, August 25, 2016 01:09:39
[DoS Attack: ACK Scan] from source: 173.203.153.81, port 80, Thursday, August 25, 2016 00:26:53
[DoS Attack: ACK Scan] from source: 173.203.153.81, port 80, Thursday, August 25, 2016 00:15:41
[DoS Attack: SYN/ACK Scan] from source: 77.87.229.22, port 80, Wednesday, August 24, 2016 22:55:06
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Wednesday, August 24, 2016 22:25:30
[DoS Attack: ACK Scan] from source: 212.4.153.171, port 443, Wednesday, August 24, 2016 22:15:19
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 22:13:52
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 22:03:41
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 11095, Wednesday, August 24, 2016 22:02:32
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 22:01:41
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 11095, Wednesday, August 24, 2016 22:00:31
[DoS Attack: ACK Scan] from source: 207.172.196.17, port 443, Wednesday, August 24, 2016 22:00:06
[DoS Attack: ACK Scan] from source: 31.13.71.1, port 443, Wednesday, August 24, 2016 22:00:02
[DoS Attack: ACK Scan] from source: 31.13.71.36, port 443, Wednesday, August 24, 2016 22:00:01
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 9543, Wednesday, August 24, 2016 21:59:41
[DoS Attack: ACK Scan] from source: 207.172.196.17, port 443, Wednesday, August 24, 2016 21:59:17
[DoS Attack: ACK Scan] from source: 207.172.196.18, port 443, Wednesday, August 24, 2016 21:59:12
[DoS Attack: ACK Scan] from source: 31.13.71.3, port 443, Wednesday, August 24, 2016 21:59:02
[DoS Attack: ACK Scan] from source: 54.224.162.27, port 11095, Wednesday, August 24, 2016 21:58:31
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Wednesday, August 24, 2016 21:02:53
[DoS Attack: TCP/UDP Chargen] from source: 185.94.111.1, port 60830, Wednesday, August 24, 2016 20:09:49
[DoS Attack: RST Scan] from source: 192.162.101.60, port 80, Wednesday, August 24, 2016 19:09:09
[DoS Attack: SYN/ACK Scan] from source: 162.144.140.49, port 80, Wednesday, August 24, 2016 18:36:44
[DoS Attack: SYN/ACK Scan] from source: 85.193.69.29, port 80, Wednesday, August 24, 2016 18:33:23
[DoS Attack: SYN/ACK Scan] from source: 91.220.101.45, port 1723, Wednesday, August 24, 2016 18:28:47

一部のIPで簡単なgoogle検索を実行した後、リストにいくつかのFacebookおよびDropbox IPがあるようです。他の多くはドイツ、イギリス、カナダなどにあるようです。それらが何であるか、またはそれらが有害であるかどうかはわかりませんが、これらの「攻撃」の頻度が私のモデムを引き起こしている原因であると私は信じ始めています閉じ込める。これらが有害な攻撃であるかどうか誰かが知っていますか?これらのタイプの問題をモデムのロックから解決するにはどうすればよいですか?ルーターにはDoSを許可する設定がありますが、特に誰かが実際に私のネットワークにアクセスしようとしている場合は、私はそうすることを非常にためらっています。 FWIW私のネットワークには約30の有線および無線デバイスがあります(ラップトップ、スマートフォン、タブレット、IPカメラ、Sonosスピーカー、Amazon Echoの製品、Nest製品、その他のスマートホーム製品など)。この新しいルーターを購入して以来、モデムがロックし続ける理由を理解しようとしています。これらのDoS攻撃を考えることが犯人かもしれません。どんな助けでも大歓迎です!

2
King Kona

SOHOルーター(少なくとも、dlinkとnetgearでこれを見たことがあります)は、24時間/ミッションの重要なドラマログをこのように表示するのが好きです。代わりに、ルーターにddwrtまたは同様のものをインストールしてみてください。次にtcpdumpをインストールし、ssh(PuTTY -log somethingAwry.log 192.168.0.1(またはルーターが使用する任意のIP)を介してルーターに接続し、tcpdump -ni eth0 dst Host yourPublicIPの呪文を唱えます-フラッディングはここに表示されます。それ以外の場合はeth1wan0、またはスペルifconfig -aを使用して適切なインターフェースを見つけます。フラッディングされている場合は、ISPに連絡して、somethingAwry.logを提供してください-フラッディングIPのISSPのスタッフはすばやく反応します悪用に関するispからのすべてのメールに送信します。編集:ログエントリは、ある程度、ポートスキャンによって引き起こされます。これは、攻撃する特定のサービスを探しているボットと人間の両方によって行われます。すべてをスキャンします。「syn」フラッドは通常、単なるハーフオープンスキャン用のいくつかのsyn-packets。google 'strobe'および 'nmap'。

2
user400344

443、80などのポート、およびその他の既知のサービスエンドポイントからのACKは、アクセスしているWebサイトおよびサービスからの応答にすぎません。悪意はありません。ルーターがこれについて混乱していてロックアップしているという事実は、ルーターの設計が不十分であり、ファームウェアをアップグレードまたは交換する必要があることを示しています。

質問は多くのデバイスの存在を暗示しているので、特定のデバイスが実行している何かがあり、それは特にルーターを悩ませています。これらのデバイスでは、すべてのプロトコルが同等の猶予で処理されるわけではありません。アプローチとしては、個々のデバイスを体系的にシャットダウンし、ルーターの動作が安定するかどうかを確認することが考えられます。

0
Jonah Benton

このすべてのエントリの間隔は数分、場合によっては数時間です。そのため、これを攻撃と見なすことはなく、ルーターに影響を与えることはありません。開いているポートを探すためにいくつかの軽いスキャンを取得するのは正常です。ポート80にWebサーバーを置くと、スキャン後にwordpress phpmyadminおよびその他の一般的に使用されるサービスへのリクエストを取得します。ポート80はそれが開いていると示していますほとんどの場合、子供たちがスクリプトを実行して、遊んで脆弱なサーバーを見つけようとしています。

それがDOS攻撃の場合、1秒あたり数百の要求が表示され、1秒あたりDDOSの場合、数千の要求が表示されます。

0
rypskar