ルーターがポートスキャンとACKフラッド攻撃を検出
過去数日間、ワイヤレスルーターのログがさまざまなIPアドレスからのACKフラッド攻撃を示していることに気づきました。 D-Link DIR-600Lを使用しています。私はインターネットを介して、また this 質問を介して検索しました。しかし、私は解決策を見つけることができません。 ISPから、DNS IPアドレスを変更して手動で入力するように勧められました。それでも結果は改善されませんでした。実際、一部のWebサイトが開いていないため、他のブラウザではなくChromeからFacebookにログオンするとHTTP Error 404が表示されます。すべての履歴もクリアしましたが、何も変わりませんでした。 MalwareBytes Anti Malwareは、私のシステムが明確であることを示しました。ルーターを工場出荷時のデフォルトにリセットしても、問題が解決するのはしばらくの間だけです。私はPPPoE接続を使用します。この接続では、ISPからのワイヤーがルーターに接続し、そこからイーサネットワイヤーがコンピューターに接続します。
これは、最近コンピューターに保存したログファイルの一部です。
Mar 20 20:44:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:44:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:43:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:43:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:42:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:42:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:41:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:41:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:40:38 Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:40:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:40:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:39:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:39:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:38:38 Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:38:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:38:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:37:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:37:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:36:38 Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:36:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:36:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:35:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:35:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:34:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:34:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:33:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:33:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:32:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:32:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:31:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:31:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:30:38 Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:30:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:30:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:29:38 Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:29:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:29:17 DHCP lease IP 192.168.0.100 to Android-8d3000955a8eba27 c4-43-8f-41-c9-02<br>
Mar 20 20:29:13 Authentication Success c4-43-8f-41-c9-02<br>
Mar 20 20:29:13 Authenticating...... c4-43-8f-41-c9-02<br>
Mar 20 14:58:48 Remote management is disabled. <br>
Mar 20 14:58:48 Anti-spoofing enabled. <br>
Mar 20 14:58:48 Block WAN PING enabled. <br>
Mar 20 14:58:48 URL Blocking disabled. <br>
Mar 20 14:58:48 RTSP ALG enabled. <br>
Mar 20 14:58:48 VPN (IPsec) Pass-Through enabled. <br>
Mar 20 14:58:47 VPN (PPTP) Pass-Through enabled. <br>
Mar 20 14:58:47 VPN (L2TP) Pass-Through enabled. <br>
Mar 20 14:58:45 PPPoE line connected <br>
Mar 20 14:58:45 IPCP: secondary DNS address (X.X.X.X) <br>
Mar 20 14:58:45 IPCP: primary DNS address (Y.Y.Y.Y) <br>
Mar 20 14:58:45 IPCP: remote IP address (XX.XX.XX.XX) <br>
Mar 20 14:58:45 IPCP: local IP address (YY.YY.YY.YY) <br>
Mar 20 14:58:44 CHAP authentication succeeded <br>
Mar 20 14:58:38 PPPoE: Receive PADS <br>
Mar 20 14:58:38 PPPoE: Sending PADR <br>
Mar 20 14:58:38 WAN Dialup Try to establish PPPoE line<br>
興味深いことに、ほとんどすべての攻撃は1分間隔で行われています
これは懸念事項ですか?これが原因で、インターネットの閲覧速度が大幅に低下しました。
ルーターに次の設定があります
- なりすましチェック:[〜#〜] on [〜#〜]
- ファイアウォール:[〜#〜] off [〜#〜]
- DMZ:[〜#〜]オフ[〜#〜]
- WPS:[〜#〜]オフ[〜#〜]
- 拡張ワイヤレス:[〜#〜]オフ[〜#〜]
- プリアンブル:短い
- チャンネル選択:Auto
- モード:802.11混合(n/g/b)
- 帯域幅:Auto
- 20/40 MHzの共存:[〜#〜]オフ[〜#〜]
- ショートガード:[〜#〜] on [〜#〜]
- UPnP:[〜#〜] on [〜#〜]
- マルチキャストストリーム:[〜#〜] on [〜#〜]
- DNSリレー:[〜#〜]オフ[〜#〜]
[〜#〜]編集[〜#〜]:
@DKNUCKLESの質問に答えて、以下がnetstat -antコマンドの出力です。
Active Connections
Proto Local Address Foreign Address State Offload S
tate
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:554 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:2869 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:10243 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:49156 0.0.0.0:0 LISTENING InHost
TCP 0.0.0.0:49157 0.0.0.0:0 LISTENING InHost
TCP 127.0.0.1:5357 127.0.0.1:49708 TIME_WAIT InHost
TCP 127.0.0.1:5357 127.0.0.1:49711 TIME_WAIT InHost
TCP 127.0.0.1:5357 127.0.0.1:49712 TIME_WAIT InHost
TCP 127.0.0.1:5357 127.0.0.1:49738 TIME_WAIT InHost
TCP 127.0.0.1:5357 127.0.0.1:49744 TIME_WAIT InHost
TCP 192.168.0.100:139 0.0.0.0:0 LISTENING InHost
TCP 192.168.0.100:49713 192.168.0.1:80 TIME_WAIT InHost
TCP 192.168.0.100:49718 192.168.0.1:80 TIME_WAIT InHost
TCP 192.168.0.100:49722 192.168.0.1:80 TIME_WAIT InHost
TCP 192.168.0.100:49723 192.168.0.1:80 TIME_WAIT InHost
TCP 192.168.0.100:49728 173.252.102.241:443 ESTABLISHED InHost
TCP 192.168.0.100:49729 173.252.102.241:443 TIME_WAIT InHost
TCP 192.168.0.100:49735 31.13.79.49:443 ESTABLISHED InHost
TCP 192.168.0.100:49736 74.125.200.138:443 ESTABLISHED InHost
TCP 192.168.0.100:49737 74.125.236.132:443 ESTABLISHED InHost
TCP 192.168.0.100:49745 74.125.135.125:5222 ESTABLISHED InHost
TCP 192.168.0.100:49746 192.168.0.1:80 TIME_WAIT InHost
TCP 192.168.0.100:49751 192.168.0.1:80 TIME_WAIT InHost
TCP 192.168.0.100:49759 198.252.206.25:80 ESTABLISHED InHost
TCP 192.168.0.100:49760 192.168.0.1:80 TIME_WAIT InHost
TCP 192.168.0.100:49767 192.168.0.1:80 TIME_WAIT InHost
TCP 192.168.0.100:49787 192.168.0.1:80 TIME_WAIT InHost
TCP 192.168.0.100:49792 31.13.79.96:443 ESTABLISHED InHost
TCP [::]:135 [::]:0 LISTENING InHost
TCP [::]:445 [::]:0 LISTENING InHost
TCP [::]:554 [::]:0 LISTENING InHost
TCP [::]:2869 [::]:0 LISTENING InHost
TCP [::]:3587 [::]:0 LISTENING InHost
TCP [::]:5357 [::]:0 LISTENING InHost
TCP [::]:10243 [::]:0 LISTENING InHost
TCP [::]:49152 [::]:0 LISTENING InHost
TCP [::]:49153 [::]:0 LISTENING InHost
TCP [::]:49154 [::]:0 LISTENING InHost
TCP [::]:49155 [::]:0 LISTENING InHost
TCP [::]:49156 [::]:0 LISTENING InHost
TCP [::]:49157 [::]:0 LISTENING InHost
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:3544 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5004 *:*
UDP 0.0.0.0:5005 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:49784 *:*
UDP 0.0.0.0:53772 *:*
UDP 0.0.0.0:61041 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:49783 *:*
UDP 192.168.0.100:137 *:*
UDP 192.168.0.100:138 *:*
UDP 192.168.0.100:1900 *:*
UDP 192.168.0.100:49782 *:*
UDP 192.168.0.100:54659 *:*
UDP [::]:500 *:*
UDP [::]:3540 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:3702 *:*
UDP [::]:4500 *:*
UDP [::]:5004 *:*
UDP [::]:5005 *:*
UDP [::]:5355 *:*
UDP [::]:49785 *:*
UDP [::]:53773 *:*
UDP [::]:61042 *:*
UDP [::1]:1900 *:*
UDP [::1]:49781 *:*
UDP [fe80::3089:dda9:e5bb:4761%13]:546 *:*
UDP [fe80::3089:dda9:e5bb:4761%13]:1900 *:*
UDP [fe80::3089:dda9:e5bb:4761%13]:49780 *:*
はい、トラフィックは、ルーターで表示されているトラフィックに対応しています。このトラフィックは、ブロックされ、ACKフラッド攻撃として検出されています。
ファイアウォールのスプーフィング防止メカニズムがトラフィックをブロックしているようです。つまり、ファイアウォールは本来の動作をしています。インターネットに公開されたデバイスは、簡単なエクスプロイト、ポートスキャンなどについて定期的にチェックされます。クライアントネットワークは1日1回スキャンされます少なくとも、適切な防御メカニズムを確保することでリスクを軽減します配置されています。
これが私があなただったらどうするでしょう。
- デバイスを工場出荷時のデフォルトにリセットし、WANへのケーブルを取り外します
- デバイスの管理に強力なパスワードを設定します(現在のものとは異なります)
- ファイアウォールが有効でUPnPが無効であることを確認します(他のすべての設定は問題ありません)
- リモート管理が無効になっていることを確認してください
- 注意深く監視する