Continui attacchi DoS dall'esterno

[leoben]

Da un paio di giorni ho notato che la mia connessione internet era molto rallentata.
Pensavo ad alcuni lavori da parte di Telecom, ma verificando ieri sera e stamani il mio router, ho notato che sui registri, ho una serie infinita di attacchi.
Tanto per fare un esempio:

Quote:

Thu, 2012-05-10 10:02:28 - TCP Packet - Source:79.44.228.14,40446 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 10:02:28 - Administrator admin login successful - IP:192.168.0.2!!
Thu, 2012-05-10 10:02:27 - TCP Packet - Source:87.21.108.64,54371 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 10:02:27 - Administrator login failure - IP:192.168.0.2
Thu, 2012-05-10 09:49:01 - TCP Packet - Source:87.18.30.169,13590 Destination:87.19.131.149,445 - [DOS]
Thu, 2012-05-10 09:42:13 - TCP Packet - Source:83.216.186.68,56381 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:35 - TCP Packet - Source:82.60.134.59,51344 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:35 - TCP Packet - Source:188.218.145.223,59253 Destination:87.19.131.149,36845 - [DOS]
Thu, 2012-05-10 09:33:34 - TCP Packet - Source:79.98.3.164,42610 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:34 - TCP Packet - Source:151.67.143.154,62100 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:33 - TCP Packet - Source:79.1.67.100,64851 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:33 - TCP Packet - Source:82.60.134.59,51344 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:33 - TCP Packet - Source:151.21.20.225,33120 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:33 - TCP Packet - Source:62.98.245.162,56898 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:32 - TCP Packet - Source:2.231.72.148,51361 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:32 - TCP Packet - Source:82.60.134.59,51344 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:32 - TCP Packet - Source:94.34.81.55,52651 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:31 - TCP Packet - Source:213.215.246.4,8611 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:31 - TCP Packet - Source:93.34.187.208,52539 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:30 - TCP Packet - Source:93.50.117.117,2996 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:30 - TCP Packet - Source:188.218.145.223,59253 Destination:87.19.131.149,36845 - [DOS]
Thu, 2012-05-10 09:33:30 - TCP Packet - Source:62.98.245.162,56898 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:29 - TCP Packet - Source:93.71.136.250,56638 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:29 - TCP Packet - Source:93.34.187.208,52539 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:29 - TCP Packet - Source:79.25.157.139,59103 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:33:27 - TCP Packet - Source:88.149.243.60,56970 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:56 - TCP Packet - Source:87.10.134.1,60034 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:53 - TCP Packet - Source:87.4.91.100,62913 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:52 - TCP Packet - Source:87.4.91.100,62912 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:52 - TCP Packet - Source:151.28.106.190,2726 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:52 - TCP Packet - Source:89.97.51.89,2779 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:49 - TCP Packet - Source:87.10.134.1,60034 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:49 - TCP Packet - Source:93.144.112.183,61950 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:47 - TCP Packet - Source:89.148.160.22,23752 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:47 - TCP Packet - Source:151.48.163.11,57642 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:47 - TCP Packet - Source:87.10.134.1,60034 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:47 - TCP Packet - Source:188.135.209.59,54275 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:46 - TCP Packet - Source:82.60.162.113,55168 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:46 - TCP Packet - Source:93.144.112.183,61950 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:28:46 - TCP Packet - Source:89.148.160.22,23752 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:27:04 - TCP Packet - Source:151.33.132.106,50646 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:27:04 - TCP Packet - Source:80.123.23.160,58917 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:26:58 - TCP Packet - Source:80.123.23.160,58917 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:26:58 - TCP Packet - Source:151.74.64.166,57121 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:26:57 - TCP Packet - Source:188.135.209.59,59472 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:26:56 - TCP Packet - Source:78.13.193.71,49672 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:26:56 - TCP Packet - Source:82.60.134.59,49969 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:26:55 - TCP Packet - Source:79.52.46.120,57197 Destination:87.19.131.149,50807 - [DOS]
Thu, 2012-05-10 09:26:55 - TCP Packet - Source:151.67.62.72,62688 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:25:11 - TCP Packet - Source:93.50.117.117,2644 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:25:11 - TCP Packet - Source:95.235.42.169,56133 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:25:10 - TCP Packet - Source:188.125.100.65,62666 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:25:08 - TCP Packet - Source:88.149.243.60,38751 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:19:43 - TCP Packet - Source:80.123.23.160,57980 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:19:42 - TCP Packet - Source:93.58.198.216,4590 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:19:42 - TCP Packet - Source:87.5.179.140,52119 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:19:41 - TCP Packet - Source:82.60.134.59,64775 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:19:41 - TCP Packet - Source:151.21.20.225,33184 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:19:40 - TCP Packet - Source:88.213.153.154,37888 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:19:40 - TCP Packet - Source:213.215.246.4,25839 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:19:40 - TCP Packet - Source:93.71.136.250,53665 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 09:06:06 - TCP Packet - Source:89.97.51.89,4490 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:30 - TCP Packet - Source:93.48.252.245,57108 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:30 - TCP Packet - Source:151.67.143.154,58953 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:30 - TCP Packet - Source:87.10.134.1,45252 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:29 - TCP Packet - Source:87.5.179.140,57104 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:28 - TCP Packet - Source:78.13.29.77,54665 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:27 - TCP Packet - Source:187.10.110.32,58651 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:26 - TCP Packet - Source:87.11.57.162,53906 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:26 - TCP Packet - Source:151.21.20.225,55611 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:25 - TCP Packet - Source:79.24.193.196,57758 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:24 - TCP Packet - Source:87.10.134.1,45252 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:24 - TCP Packet - Source:151.67.143.154,58953 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:59:23 - TCP Packet - Source:2.224.13.184,36865 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:54:36 - TCP Packet - Source:82.60.134.59,59499 Destination:87.19.131.149,6882 - [DOS]
Thu, 2012-05-10 08:54:35 - TCP Packet - Source:89.97.51.89,3347 Destination:87.19.131.149,6882 - [DOS]

Ho notato che se spengo il router ed ottengo un nuovo IP, la connessione torna veloce. Ma dopo un po' ci risiamo...
Tutto questo succede soltanto se ho il nas acceso (D-Link DNS-320) ed avvio un paio di torrent.
A nas spento (e con un nuovo ip) il pc va liscio, almeno per quella mezz'ora che lo sto usando...
Possibile che ci sia qualche malware nel nas?

[gd350turbo]

La porta 6882 è quella che usi per il torrent ?

Se usi il torrent è normale che ricevi delle richieste che possano essere scambiate per ddos...

[leoben]

Quote:

Originariamente inviato da gd350turbo

La porta 6882 è quella che usi per il torrent ?

Se usi il torrent è normale che ricevi delle richieste che possano essere scambiate per ddos...

Sì, la porta è quella.
Me la imposta in automatico il nas. Devo forse cambiarla?

Però fino ad oggi non avevo tutte queste segnalazioni... E questi rallentamenti nella connessione... Adesso ho un solo torrent attivo che va a 50kbps in up e 20 in down. Di certo non mi satura la banda di una 7Mega!

[gd350turbo]

Se spegni il torrent e gli "attacchi" cessano, hai trovato la causa...

Poi sul perchè faccia così, non ti so rispondere, non uso il torrent !

[xcdegasp]

la porta aperta nel router deve corrispondere a quella in uso in torrent

[Migmar]

per una 7 mega 50 kb/s in upload ti rallentano molto, non ricordo il valore massimo nominale, ma se per una 20 mega è sui 120-130 kb/s, allora sei molto vicino a saturare l'upload, calcolando che è meno della metà di una 20 mega.

[leoben]

Quote:

Originariamente inviato da xcdegasp

la porta aperta nel router deve corrispondere a quella in uso in torrent

Io nel router non ho aperto niente, credo lo faccia da solo con l'Upnp... Purtroppo ne so poco o nulla in materia...

Quote:

Originariamente inviato da Migmar

per una 7 mega 50 kb/s in upload ti rallentano molto, non ricordo il valore massimo nominale, ma se per una 20 mega è sui 120-130 kb/s, allora sei molto vicino a saturare l'upload, calcolando che è meno della metà di una 20 mega.

Scusa, ho scritto al contrario
sono 50 in down e 20 in up (questi ultimi li limito io dal programma del nas).

Comunque il discorso del rallentamento credo di averlo risolto. L'altro ieri avevo formattato il disco del nas e al successivo riavvio avevo perso alcune impostazioni. Praticamente mi è successo proprio quello che mi hai suggerito! Nonostante il limite impostato a 20 kb/s, l'upload andava a banda piena (35-40kb/s) e saturava la connessione.
Quindi al momento questo problema sembra risolto (verificherò nel pomeriggio quando rientro a casa).

Mentre per l'altro discorso, dite che tutti quei tentativi sono dei falsi allarmi e sono solo connessioni per il discorso dei torrent? Vado tranquillo?

[Migmar]

esatto, nn ti preoccupare, succede anche a me quando apro vuze ed ho qualcosa in seed...sono sl client che cercano di connettersi, pensa che continuano a fare richiesta anche dp un po che ho chiuso il programma...

[leoben]

Stasera, a parte una bella lista presente nei registri, ho trovato anche una cosa diversa. Copio qui sotto una linea:

Quote:

Thu, 2012-05-10 20:10:51 - UDP Packet - Source:81.211.99.150,63468 Destination:192.168.0.10,6881 - [DOS

Invece che TCP Packet, ci sono molti UDP Packet. Solito discorso di cui sopra?

[Migmar]

il protocollo di torrent utilizza entrambi i protocolli TCP e UDP.
Accertati che la porta che usa il nas sia proprio 6881, magari impostandogliela fissa cm regola nel router (tra l'altro se non ricordo male è meglio disattivare l'upnp, a causa di una sua vulnerabilità sfruttata da script flash malevoli).