PDA

View Full Version : attacco dos?

baohoa
07-10-2015, 20:20
Ciao a tutti,
questa la mia configurazione


alice adsl 7 mega
modem d-link dsl-320b z1 con firmware 1.05
router netgear R7000 con ultimo firmware


da qualche settimana ho disconnessioni di 1-2 minuti ad intervalli di 30-40 minuti l'una dall'altra. Il tecnico Telecom ha verificato la linea che porta fino a dentro casa e risulterebbe tutto a posto.




Un estratto del log del modem (si ripete per tutta la giornata):


[Internet disconnected] Tuesday, Oct 06,2015 12:29:14
[DHCP IP: (10.0.0.5)] to MAC address 70:56:818:xx:xx, Tuesday, Oct 06,2015 12:11:26
[DHCP IP: (10.0.0.4)] to MAC address 74:E1:B6:F2:xx:xx, Tuesday, Oct 06,2015 12:05:48
[UPnP set event: Public_UPNP_C5] from source 10.0.0.x, Tuesday, Oct 06,2015 12:02:03
[Time synchronized with NTP server] Tuesday, Oct 06,2015 12:00:59
[Internet connected] IP address: 192.168.1.2, Tuesday, Oct 06,2015 11:59:47
[Internet disconnected] Tuesday, Oct 06,2015 11:59:43
[UPnP set event: Public_UPNP_C5] from source 10.0.0.x, Tuesday, Oct 06,2015 11:46:10
[Time synchronized with NTP server] Tuesday, Oct 06,2015 11:38:02
[DoS attack: STORM] attack packets in last 20 sec from ip [192.168.1.1], Tuesday, Oct 06,2015 11:37:33
[Internet connected] IP address: 192.168.1.2, Tuesday, Oct 06,2015 11:36:41
[Internet disconnected] Tuesday, Oct 06,2015 11:36:36


e da oggi appare anche questo log:


[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:57:11
[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:55:05
[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:50:59
[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:48:53
[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:44:47
[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:42:41
[DoS attack: IP Spoof] attack packets in last 20 sec from ip [10.0.0.9], Wednesday, Oct 07,2015 18:40:31


quest'ultimo MAC è di un device effettivamente in rete


qualcuno può aiutarmi a capire cosa succede?






grazie
Didoz
08-10-2015, 08:16
Ciao a tutti,
questa la mia configurazione


alice adsl 7 mega
modem d-link dsl-320b z1 con firmware 1.05
router netgear R7000 con ultimo firmware


da qualche settimana ho disconnessioni di 1-2 minuti ad intervalli di 30-40 minuti l'una dall'altra. Il tecnico Telecom ha verificato la linea che porta fino a dentro casa e risulterebbe tutto a posto.




Un estratto del log del modem (si ripete per tutta la giornata):


[Internet disconnected] Tuesday, Oct 06,2015 12:29:14
[DHCP IP: (10.0.0.5)] to MAC address 70:56:818:xx:xx, Tuesday, Oct 06,2015 12:11:26
[DHCP IP: (10.0.0.4)] to MAC address 74:E1:B6:F2:xx:xx, Tuesday, Oct 06,2015 12:05:48
[UPnP set event: Public_UPNP_C5] from source 10.0.0.x, Tuesday, Oct 06,2015 12:02:03
[Time synchronized with NTP server] Tuesday, Oct 06,2015 12:00:59
[Internet connected] IP address: 192.168.1.2, Tuesday, Oct 06,2015 11:59:47
[Internet disconnected] Tuesday, Oct 06,2015 11:59:43
[UPnP set event: Public_UPNP_C5] from source 10.0.0.x, Tuesday, Oct 06,2015 11:46:10
[Time synchronized with NTP server] Tuesday, Oct 06,2015 11:38:02
[DoS attack: STORM] attack packets in last 20 sec from ip [192.168.1.1], Tuesday, Oct 06,2015 11:37:33
[Internet connected] IP address: 192.168.1.2, Tuesday, Oct 06,2015 11:36:41
[Internet disconnected] Tuesday, Oct 06,2015 11:36:36


e da oggi appare anche questo log:


[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:57:11
[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:55:05
[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:50:59
[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:48:53
[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:44:47
[WLAN access rejected: incorrect security] from MAC F4:F5:A5:xx:xx:xx, Wednesday, Oct 07,2015 18:42:41
[DoS attack: IP Spoof] attack packets in last 20 sec from ip [10.0.0.9], Wednesday, Oct 07,2015 18:40:31


quest'ultimo MAC è di un device effettivamente in rete


qualcuno può aiutarmi a capire cosa succede?


grazie



Ciao,

a quale device appartiene l'ip 192.168.1.1 ? è un telefono , un pc o altro ?

La prima cosa che farei, una volta identificato, è escluderlo dalla rete e vedere se le disconnessioni si ripresentano.

Il log dice:

[DoS attack: STORM] attack packets in last 20 sec from ip [192.168.1.1]

Significa che da quell'ip arriva traffico anomalo, o meglio, il router lo identifica come anomalo. Non è detto che di fatto sia un DoS.

Altra cosa: Una volta identificato il device, installaci su wireshark e sniffa il traffico in uscita dall'interfaccia di rete.

Il mac address F4:F5:A5:xx:xx:xx appartiene ad una interfaccia Nokia.

Grazie
baohoa
08-10-2015, 10:02
Grazie!

L IP appartiene al modem.

Il MAC è di un telefono, una volta scollegato non ho più avuto messaggi di errore dal device.