ルーターへのDoS攻撃を無視しても安全ですか?
ルーターのログファイルには、一部のポートでの最近のDoS試行を示すいくつかのエントリがあります。彼らはこのように見えます:
[DoS Attack: ACK Scan] from source: 213.61.245.234, port 80, Friday, November 21,2014 11:37:59
[DoS Attack: ACK Scan] from source: 80.239.159.8, port 443, Friday, November 21,2014 11:18:09
...
[DoS Attack: RST Scan] from source: 195.39.197.142, port 30732, Wednesday, November 19,2014 22:12:35
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:56:38
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:56:33
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:56:06
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:56:01
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:50
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:44
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:38
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:36
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:36
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:30
[DoS Attack: RST Scan] from source: 128.199.49.106, port 18668, Wednesday, November 19,2014 15:06:46
ルーターのパブリックIPで開いているポートをスキャンしてみました。
Sudo nmap <my-public-ip> -Pn --reason --top-ports 10
Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-21 16:02 CET
Nmap scan report for <public-hostname> (<my-public-ip>)
Host is up, received user-set.
PORT STATE SERVICE REASON
21/tcp filtered ftp no-response
22/tcp filtered ssh no-response
23/tcp filtered telnet no-response
25/tcp filtered smtp no-response
80/tcp filtered http no-response
110/tcp filtered pop3 no-response
139/tcp filtered netbios-ssn no-response
443/tcp filtered https no-response
445/tcp filtered Microsoft-ds no-response
3389/tcp filtered ms-wbt-server no-response
私は好奇心旺盛ですが、私のルーターは、そもそもそれぞれがDoS攻撃であることをどのようにして知るのですか?これらのnmapを積極的に使用するケースはありますか?そして、これらの攻撃について心配する必要がありますか?
GoogleでこれらのIPアドレスを検索すると、次の結果が得られます。
- 31.13.91.117 => Facebookに関連
- 88.221.82.74 => アカマイに関連
Akamaiが 報告されている を顧客として持つコンテンツプロバイダー(CDN)であるという事実を考えると、これは本当のDOS攻撃ではない可能性があり、ルーターの保護は誇張されているようです。多くの従業員/家族がFacebookを使用している可能性はありますか?これにより、ルーターで多くの(正当な)Facebook応答が受信されます。実際にはそうではないのに、ルーターはこれをDOS攻撃と見なす可能性があります。これは、「スキャン」がTLS(HTTPS)ポートであるsourceポート443から行われるという事実によってサポートされます。 HTTPS経由でFacebookに接続され、Facebookから返信されます。
質問にリストされている他のIPアドレスは少しずるそうですが、これもまた、多くの応答(多くのCSS、JSなど)を送信している正当なサイトである可能性があります。ただし、ポート30372と18668がリストされているものは非常にシフティングです。これらは、大規模なスキャンの一部であるか、単なる偶然の一致である可能性があります。それらが定期的に表示されなくても心配する必要はありません。
15秒ごとに1つのパケットは、DoS攻撃を構成しません。
これは基本的なNetgearルーターです。これらのルーターは通常、「インターネットの脅威」からユーザーを保護する特別なファームウェア機能を備えていると宣伝されています。彼らが実際に持っているのは、可能な限り最も憂慮すべき言語で異常を記録するように構成された通常の NATルーター です。表示されているログエントリは、プリミティブ [〜#〜] ids [〜#〜] が「見て!何か!何かやってる!」それがあなたを守っている本当の脅威があることをあなたに納得させようとします。
88.221.82.74はAkamaiのコンテンツ配信ネットワークの一部であり、31.13.91.117はFacebookのネットワークの一部です。 TCPポート443のACKは、正当なトラフィックである可能性が高いです(既に再送信されたパケットの遅延ACK、またはインターネットでの他の不具合)。他のログエントリは、おそらくDDoS攻撃からの後方散乱です、大規模な自動ポートスキャン、およびその他のインターネットのバックグラウンドノイズ。
現時点ではコメントを追加できませんが、ポート49152を開いて調べます。ベースボード管理コントローラーには既知の脆弱性があり、管理者パスワードが非常に簡単に取得される可能性があります。
現時点でnmapスキャンが内部ネットワークを示しているので、インターネットサービスプロバイダーから提供された外部IPアドレスに対してnmapを実行することをお勧めします。あなたはそれを得ることができます
あなたの実際の質問に関しては、あなたは当たっているように見えるかもしれませんが、あなたが含まれている大量のスキャンである可能性もあります。ルーターは接続をドロップしているので、とにかく心配する必要はありません。