web-dev-qa-db-ja.com

ルーターがポートスキャンとACKフラッド攻撃を検出

過去数日間、ワイヤレスルーターのログがさまざまなIPアドレスからのACKフラッド攻撃を示していることに気づきました。 D-Link DIR-600Lを使用しています。私はインターネットを介して、また this 質問を介して検索しました。しかし、私は解決策を見つけることができません。 ISPから、DNS IPアドレスを変更して手動で入力するように勧められました。それでも結果は改善されませんでした。実際、一部のWebサイトが開いていないため、他のブラウザではなくChromeからFacebookにログオンするとHTTP Error 404が表示されます。すべての履歴もクリアしましたが、何も変わりませんでした。 MalwareBytes Anti Malwareは、私のシステムが明確であることを示しました。ルーターを工場出荷時のデフォルトにリセットしても、問題が解決するのはしばらくの間だけです。私はPPPoE接続を使用します。この接続では、ISPからのワイヤーがルーターに接続し、そこからイーサネットワイヤーがコンピューターに接続します。

これは、最近コンピューターに保存したログファイルの一部です。

Mar 20 20:44:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:44:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:43:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:43:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:42:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:42:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:41:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:41:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:40:38  Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:40:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:40:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:39:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:39:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:38:38  Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:38:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:38:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:37:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:37:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:36:38  Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:36:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:36:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:35:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:35:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:34:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:34:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:33:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:33:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:32:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:32:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:31:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:31:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:30:38  Port Scan Attack Detect Packet Dropped<br>
Mar 20 20:30:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:30:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:29:38  Per-source ACK Flood Attack Detect Packet Dropped<br>
Mar 20 20:29:38 Whole System ACK Flood Attack from WAN Rule:Default deny<br>
Mar 20 20:29:17 DHCP lease IP 192.168.0.100 to Android-8d3000955a8eba27 c4-43-8f-41-c9-02<br>
Mar 20 20:29:13 Authentication Success c4-43-8f-41-c9-02<br>
Mar 20 20:29:13 Authenticating...... c4-43-8f-41-c9-02<br>
Mar 20 14:58:48 Remote management is disabled. <br>
Mar 20 14:58:48 Anti-spoofing enabled. <br>
Mar 20 14:58:48 Block WAN PING enabled. <br>
Mar 20 14:58:48 URL Blocking disabled. <br>
Mar 20 14:58:48 RTSP ALG enabled. <br>
Mar 20 14:58:48 VPN (IPsec) Pass-Through enabled. <br>
Mar 20 14:58:47 VPN (PPTP) Pass-Through enabled. <br>
Mar 20 14:58:47 VPN (L2TP) Pass-Through enabled. <br>
Mar 20 14:58:45 PPPoE line connected <br>
Mar 20 14:58:45 IPCP: secondary DNS address (X.X.X.X) <br>
Mar 20 14:58:45 IPCP: primary DNS address (Y.Y.Y.Y) <br>
Mar 20 14:58:45 IPCP: remote IP address (XX.XX.XX.XX) <br>
Mar 20 14:58:45 IPCP: local IP address (YY.YY.YY.YY) <br>
Mar 20 14:58:44 CHAP authentication succeeded <br>
Mar 20 14:58:38 PPPoE: Receive PADS <br>
Mar 20 14:58:38 PPPoE: Sending PADR <br>
Mar 20 14:58:38 WAN Dialup Try to establish PPPoE line<br>

興味深いことに、ほとんどすべての攻撃は1分間隔で行われています

これは懸念事項ですか?これが原因で、インターネットの閲覧速度が大幅に低下しました。

ルーターに次の設定があります

  1. なりすましチェック:[〜#〜] on [〜#〜]
  2. ファイアウォール:[〜#〜] off [〜#〜]
  3. DMZ:[〜#〜]オフ[〜#〜]
  4. WPS:[〜#〜]オフ[〜#〜]
  5. 拡張ワイヤレス:[〜#〜]オフ[〜#〜]
  6. プリアンブル:短い
  7. チャンネル選択:Auto
  8. モード:802.11混合(n/g/b)
  9. 帯域幅:Auto
  10. 20/40 MHzの共存:[〜#〜]オフ[〜#〜]
  11. ショートガード:[〜#〜] on [〜#〜]
  12. UPnP:[〜#〜] on [〜#〜]
  13. マルチキャストストリーム:[〜#〜] on [〜#〜]
  14. DNSリレー:[〜#〜]オフ[〜#〜]

[〜#〜]編集[〜#〜]

@DKNUCKLESの質問に答えて、以下がnetstat -antコマンドの出力です。

Active Connections

  Proto  Local Address          Foreign Address        State           Offload S
tate

  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:554            0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:5357           0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:10243          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49156          0.0.0.0:0              LISTENING       InHost

  TCP    0.0.0.0:49157          0.0.0.0:0              LISTENING       InHost

  TCP    127.0.0.1:5357         127.0.0.1:49708        TIME_WAIT       InHost

  TCP    127.0.0.1:5357         127.0.0.1:49711        TIME_WAIT       InHost

  TCP    127.0.0.1:5357         127.0.0.1:49712        TIME_WAIT       InHost

  TCP    127.0.0.1:5357         127.0.0.1:49738        TIME_WAIT       InHost

  TCP    127.0.0.1:5357         127.0.0.1:49744        TIME_WAIT       InHost

  TCP    192.168.0.100:139      0.0.0.0:0              LISTENING       InHost

  TCP    192.168.0.100:49713    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49718    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49722    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49723    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49728    173.252.102.241:443    ESTABLISHED     InHost

  TCP    192.168.0.100:49729    173.252.102.241:443    TIME_WAIT       InHost

  TCP    192.168.0.100:49735    31.13.79.49:443        ESTABLISHED     InHost

  TCP    192.168.0.100:49736    74.125.200.138:443     ESTABLISHED     InHost

  TCP    192.168.0.100:49737    74.125.236.132:443     ESTABLISHED     InHost

  TCP    192.168.0.100:49745    74.125.135.125:5222    ESTABLISHED     InHost

  TCP    192.168.0.100:49746    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49751    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49759    198.252.206.25:80      ESTABLISHED     InHost

  TCP    192.168.0.100:49760    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49767    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49787    192.168.0.1:80         TIME_WAIT       InHost

  TCP    192.168.0.100:49792    31.13.79.96:443        ESTABLISHED     InHost

  TCP    [::]:135               [::]:0                 LISTENING       InHost

  TCP    [::]:445               [::]:0                 LISTENING       InHost

  TCP    [::]:554               [::]:0                 LISTENING       InHost

  TCP    [::]:2869              [::]:0                 LISTENING       InHost

  TCP    [::]:3587              [::]:0                 LISTENING       InHost

  TCP    [::]:5357              [::]:0                 LISTENING       InHost

  TCP    [::]:10243             [::]:0                 LISTENING       InHost

  TCP    [::]:49152             [::]:0                 LISTENING       InHost

  TCP    [::]:49153             [::]:0                 LISTENING       InHost

  TCP    [::]:49154             [::]:0                 LISTENING       InHost

  TCP    [::]:49155             [::]:0                 LISTENING       InHost

  TCP    [::]:49156             [::]:0                 LISTENING       InHost

  TCP    [::]:49157             [::]:0                 LISTENING       InHost

  UDP    0.0.0.0:500            *:*

  UDP    0.0.0.0:3544           *:*

  UDP    0.0.0.0:3702           *:*

  UDP    0.0.0.0:3702           *:*

  UDP    0.0.0.0:3702           *:*

  UDP    0.0.0.0:3702           *:*

  UDP    0.0.0.0:4500           *:*

  UDP    0.0.0.0:5004           *:*

  UDP    0.0.0.0:5005           *:*

  UDP    0.0.0.0:5355           *:*

  UDP    0.0.0.0:49784          *:*

  UDP    0.0.0.0:53772          *:*

  UDP    0.0.0.0:61041          *:*

  UDP    127.0.0.1:1900         *:*

  UDP    127.0.0.1:49783        *:*

  UDP    192.168.0.100:137      *:*

  UDP    192.168.0.100:138      *:*

  UDP    192.168.0.100:1900     *:*

  UDP    192.168.0.100:49782    *:*

  UDP    192.168.0.100:54659    *:*

  UDP    [::]:500               *:*

  UDP    [::]:3540              *:*

  UDP    [::]:3702              *:*

  UDP    [::]:3702              *:*

  UDP    [::]:3702              *:*

  UDP    [::]:3702              *:*

  UDP    [::]:4500              *:*

  UDP    [::]:5004              *:*

  UDP    [::]:5005              *:*

  UDP    [::]:5355              *:*

  UDP    [::]:49785             *:*

  UDP    [::]:53773             *:*

  UDP    [::]:61042             *:*

  UDP    [::1]:1900             *:*

  UDP    [::1]:49781            *:*

  UDP    [fe80::3089:dda9:e5bb:4761%13]:546  *:*

  UDP    [fe80::3089:dda9:e5bb:4761%13]:1900  *:*

  UDP    [fe80::3089:dda9:e5bb:4761%13]:49780  *:*

はい、トラフィックは、ルーターで表示されているトラフィックに対応しています。このトラフィックは、ブロックされ、ACKフラッド攻撃として検出されています。

2
Ayush Khemka

ファイアウォールのスプーフィング防止メカニズムがトラフィックをブロックしているようです。つまり、ファイアウォールは本来の動作をしています。インターネットに公開されたデバイスは、簡単なエクスプロイト、ポートスキャンなどについて定期的にチェックされます。クライアントネットワークは1日1回スキャンされます少なくとも、適切な防御メカニズムを確保することでリスクを軽減します配置されています。

これが私があなただったらどうするでしょう。

  • デバイスを工場出荷時のデフォルトにリセットし、WANへのケーブルを取り外します
  • デバイスの管理に強力なパスワードを設定します(現在のものとは異なります)
  • ファイアウォールが有効でUPnPが無効であることを確認します(他のすべての設定は問題ありません)
  • リモート管理が無効になっていることを確認してください
  • 注意深く監視する
1
DKNUCKLES