ルーターへの攻撃者のアクセスを拒否する
ワイヤレスで非常に低い接続が発生していたため、ルーターログを確認しました。これが私が見たものです:
Jul 09 11:07:24 Per-source ACK Flood Attack Detect (ip=74.125.130.129) Packet Dropped
Jul 09 11:07:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:06:24 Per-source ACK Flood Attack Detect (ip=74.125.200.189) Packet Dropped
Jul 09 11:06:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:05:24 Port Scan Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:05:24 Per-source ACK Flood Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:05:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:04:24 Per-source ACK Flood Attack Detect (ip=74.125.200.113) Packet Dropped
Jul 09 11:04:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 11:03:24 Per-source ACK Flood Attack Detect (ip=74.125.200.189) Packet Dropped
....
Jul 09 10:40:24 Per-source UDP Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:40:24 Per-source ACK Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:40:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:40:24 Whole System UDP Flood Attack from WAN Rule:Default deny
Jul 09 10:39:24 Per-source ACK Flood Attack Detect (ip=74.125.200.95) Packet Dropped
Jul 09 10:39:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:38:24 Per-source UDP Flood Attack Detect (ip=74.125.68.189) Packet Dropped
Jul 09 10:38:24 Per-source ACK Flood Attack Detect (ip=74.125.130.81) Packet Dropped
Jul 09 10:38:24 Whole System ACK Flood Attack from WAN Rule:Default deny
Jul 09 10:38:24 Whole System UDP Flood Attack from WAN Rule:Default deny
これは部分的なログです。ご覧のとおり、攻撃者として記録されたIPアドレスは変化し続けています。私はこれを疑いますACK Flood Attackインターネット接続が切断されています。正しいですか?
これらのアドレスをブロックしてみましたが、ルーター管理ページでは、同じサブネットにあるIPをブロックすることしかできません。この攻撃をブロックするにはどうすればよいですか?また、このフラッド攻撃はインターネット帯域幅の使用に含まれますか?
どのような行動を取る必要がありますか
- ルーターをそのような接続から保護します(既にこれらのパケットがドロップされているので、安全だと思いますが、それでも外部接続を拒否しています。
- 帯域幅が私の使用に対してカウントされる場合、私に請求可能な私のISPによって見られるように、私はお金を払いたくありません。
注:これらのIPのいくつかを確認したところ、私が働いている会社のようです。それは私に考え直させます、それが低い接続性の理由ですか?
どうやらこのトラフィックはGoogleネットワークから来ています:
NetRange:74.125.0.0-74.125.255.255
CIDR:74.125.0.0/16
ネット名:GOOGLE
次のログを添付して、悪用メールを送信することをお勧めします。
OrgAbuseEmail:[email protected]
サービスを実行していますか?グーグルボットがあなたを急いでクロールしているのでしょうか? (少なくともログのACK部分について)
@ Jeroen-it-nerdboxは正しいですし、それも私の推奨される行動方針です。ただし、私はより一般的な状況(正当な会社でない場合)に貢献するように努めます。それでも帯域幅の状況は、ISPに確認する必要があるものです。
攻撃自体については、外部ネットワークからのリクエストが最初にルーターに到達し、接続先のデバイスにリクエストをマッピングしようとすることをポートフォワーディングと呼びます。このリクエストを受け取ることができるデバイスがない場合(Webサーバーがないか、ポート転送が無効になっている場合)、ルーターのファイアウォールはパケットをドロップするはずです。 ACKフラッド攻撃は、実際にはWebサーバーやラップトップの脆弱性を見つけることを目的としていません。これは、ネットワークをフラッディングして無応答にすることを目的としているため、攻撃のサイズによっては、ネットワークパフォーマンスに非常に明確な影響を与える可能性があります。
一部のルーターにはアンチスプーフィングと呼ばれる保護機能があります。ACK攻撃はリターンIPを偽装するため、このメカニズムはこのタイプの攻撃に対して効果的です。ルーターの設定を確認し、ルーターの設定を確認して、有効にすることができます。また、一部のルーターではリモート管理が許可されていますが、この攻撃は特権の悪用を意図したものではありませんが、無効にすることをお勧めします。
ルーターが役に立たない場合にネットワークを保護する別の方法は、安価なスイッチを入手することです。ほとんどのスイッチには、レート制限機能、詳細なパケット検査、さらには偽のIPフィルタリングさえあります。