PDA

View Full Version : Attacchi Dos al router?


incollato
29-12-2012, 17:04
Buona sera ragazzi, volevo chiedervi un parere in merito a dei continui attacchi Dos alla mia linea.
Premesso che non uso programmi p2p come eMule o torrent, oggi a un certo punto la velocità di navigazione è calata drasticamente (da 7 megabit abituali a circa 0,5 con speedtest) per un bel po'.
Guardando nel log del router (netgear dgn2200v3) risultano una marea di attacchi Dos come questo:
[DoS attack: ACK Scan] from source: 2.17.98.110:443, Saturday, December 29,2012 14:50:51
provenienti da vari indirizzi IP. compaiono inoltre anche questi:
[UPnP set event:AddPortMapping] from source 192.168.0.7, Saturday, December 29,2012 14:50:39

Gli attacchi continuano tuttora, anche se meno frequenti.
La cosa ancora più allarmante è che verificando con google le identità degli ip autori degli attacchi, risultano appartenere a grosse società, come akamai (?) da server in svizzera, facebook ireland, telecom italia sparkle e yahoo.
Secondo voi c'è da preoccuparsi? :)

Wolfhwk
30-12-2012, 10:31
Se ne risente così tanto la banda, converrebbe impostare un firewall. Ma anche di corsa...:D

anubbio
30-12-2012, 11:02
Credo proprio non ci sia nulla di preoccupante.
"L'attacco" segnalato sulla porta 443 (che è quella usata da https) può essere sfruttato solo se hai aperto quella porta. Però di solito quella porta non è aperta, a meno che tu abbia sviluppato qualche sito personale interno alla lan che vuoi accedere dall'esterno (per esempio, che ne so, l'accesso esterno ad un tuo sistema di videosorveglianza).
Insomma devi preoccuparti della segnalazione SOLO SE hai un server che risponde via https. Se non è così, puoi stare tranquillo.

Tieni presente che uno dei limiti evidenti dei sistemi di logging dei router "commerciali" (come il tuo) è proprio che generano una marea di falsi positivi che, poi, rendono inutile o inefficace controllare il log.

La seconda segnalazione (quella del uPnP) nasce invece dalla tua lan. Probabilmente hai qualche dispositivo che apre porte in automatico quando si connette alla tua rete. E' caso tipico di ipTV o sistemi di streaming audio, anche via smartphone o tablet. Se sai di avere qualcosa di questo tipo, puoi ignorare anche questa segnalazione.

Per il tuo problema, invece, proverei a cercare cause esterne, per esempio:

magari la tua linea telefonica è vecchia e quando ti è calata la velocità stava piovendo ? (è tipico della forte umidità far abbassare la vel adsl)
oppure sei attaccato ad una centrale telefonica "vecchia" o con tanti utenti? (in questo periodo di feste la gente a casa si collega, e le linee si sovraccaricano).


Ciao

incollato
30-12-2012, 17:38
Credo proprio non ci sia nulla di preoccupante.
"L'attacco" segnalato sulla porta 443 (che è quella usata da https) può essere sfruttato solo se hai aperto quella porta. Però di solito quella porta non è aperta, a meno che tu abbia sviluppato qualche sito personale interno alla lan che vuoi accedere dall'esterno (per esempio, che ne so, l'accesso esterno ad un tuo sistema di videosorveglianza).
Insomma devi preoccuparti della segnalazione SOLO SE hai un server che risponde via https. Se non è così, puoi stare tranquillo.

Tieni presente che uno dei limiti evidenti dei sistemi di logging dei router "commerciali" (come il tuo) è proprio che generano una marea di falsi positivi che, poi, rendono inutile o inefficace controllare il log.

La seconda segnalazione (quella del uPnP) nasce invece dalla tua lan. Probabilmente hai qualche dispositivo che apre porte in automatico quando si connette alla tua rete. E' caso tipico di ipTV o sistemi di streaming audio, anche via smartphone o tablet. Se sai di avere qualcosa di questo tipo, puoi ignorare anche questa segnalazione.

Per il tuo problema, invece, proverei a cercare cause esterne, per esempio:

magari la tua linea telefonica è vecchia e quando ti è calata la velocità stava piovendo ? (è tipico della forte umidità far abbassare la vel adsl)
oppure sei attaccato ad una centrale telefonica "vecchia" o con tanti utenti? (in questo periodo di feste la gente a casa si collega, e le linee si sovraccaricano).


Ciao

Grazie della risposta :)
La cosa che mi ha insospettito è stata la provenienza di questi "attacchi", provenienti da società importanti.
Per quanto riguarda il calo della velocità, credo proprio sia stata colpa degli attacchi, perchè nel log ne risultano tantissimi (100 al minuto circa) proprio nei minuti in cui c'è stato il calo, considerando anche che era una giornata di sole e che non era mai successo un calo così evidente... :)

Dumah Brazorf
30-12-2012, 17:53
Se non hai un ddns registrato o ip statico l'attacco è fatto a caso, non ce l'hanno con te in pariticolare, per cui ti basta disconnetterti e riconnetterti dopo un minutino per cambiare indirizzo ip pubblico.

incollato
10-01-2013, 17:47
Ok, ma siamo sicuri che questi presunti attacchi non intaccano la sicurezza della mia rete? Oppure c'è il rischio di potenziali intrusioni? :stordita:

trottolino1970
12-01-2013, 21:25
Ma la sicurezza dipende da te. Solitamente un hacker prende di mira una classe di ip pubblici ed inizia a fare una scansione sulle porte generalmente aperte. Se tu non hai esigenze particolari blocca tutte le porte per esempio la 21 22 23 80 8080. Le prime che vengono "scannate" sono queste. Se le chiudi perché non ti servono sei già ad un buon punto.


sent from iPhone 4S 32 giga using Tapatalk