web-dev-qa-db-ja.com

ルーターがポート1701でブロックされたトラフィックの異常な量をログに記録するのはなぜですか?

私は2701HGV-B2Wireモデムとルーター(AT&T)を持っています。ログは基本的に次のようなエントリでいっぱいで、エントリ間の時間は5分の1秒から3分の1秒です。

src=86.156.7.170 dst=xxx.xxx.xxx.38 ipprot=17 sport=6882 dport=1701 Unknown inbound session stopped
src=58.176.22.252 dst=xxx.xxx.xxx.38 ipprot=17 sport=21573 dport=1701 Unknown inbound session stopped
src=91.221.6.250 dst=xxx.xxx.xxx.38 ipprot=17 sport=25902 dport=1701 Unknown inbound session stopped
...

ここで、ソースIPはエントリごとに異なります。エントリは絶えず蓄積され、ルーターがいくつかのエントリにある1秒ごとにログに表示されます。宛先はルーターのWANアドレスです。これは何らかの形でVNCに関連していることは理解していますが、ルーターがVNCの要求で攻撃されている理由を理解するのに十分な知識がありません。セッション。何か怪しいことが起こっているのですか、それともこれは正常ですか?正常な場合、これらのエントリがログファイルをスパムしないようにするにはどうすればよいですか?毎秒約2、3個あるため、他のすべてが溺れてしまいます。

1
vlsd

IPプロトコル17はUDPであり、コメントで述べられているように、UDP/1701はVPNプロトコルであるL2TPに一般的に使用されるポートです。

L2TPにはいくつかの脆弱性が報告されているため、最も可能性の高い2つのシナリオは次のとおりです。

  1. PCが侵害され、脆弱なL2TP実装をスキャンするために使用されており、IPがスキャンされています
  2. あなたのIPアドレスは、実際にL2TPゲートウェイを実行していた他の誰かによって以前に使用されており、そのゲートウェイへのクライアントの1つがまだそれに接続しようとしています。

送信元アドレスは英国のISPBT範囲の一部であるため、おそらく国内接続です。

いずれにせよ、ファイアウォールはそれをブロックしていて、その仕事をしています。外部接続を監視すると、IPアドレスのポートに接続しようとする試みが何度も見られます。これはインターネットのバックグラウンド放射線であり、ゾンビPCがスキャンを実行します。

あなたはそれを安全に無視することができます。

2
Paul