忽略路由器上的 DoS 攻击是否安全?

信息安全 拒绝服务 路由器
2021-08-22 11:01:56

我的路由器日志文件中有几个条目显示最近在其某些端口上的 DoS 尝试。它们看起来像这样:

[DoS Attack: ACK Scan] from source: 213.61.245.234, port 80, Friday, November 21,2014 11:37:59
[DoS Attack: ACK Scan] from source: 80.239.159.8, port 443, Friday, November 21,2014 11:18:09
...
[DoS Attack: RST Scan] from source: 195.39.197.142, port 30732, Wednesday, November 19,2014 22:12:35
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:56:38
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:56:33
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:56:06
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:56:01
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:50
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:44
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:38
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:36
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:36
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:30
[DoS Attack: RST Scan] from source: 128.199.49.106, port 18668, Wednesday, November 19,2014 15:06:46

尝试扫描我的路由器的公共 IP 以查找开放端口:

sudo nmap <my-public-ip> -Pn --reason --top-ports 10

Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-21 16:02 CET
Nmap scan report for <public-hostname> (<my-public-ip>)
Host is up, received user-set.
PORT     STATE    SERVICE       REASON
21/tcp   filtered ftp           no-response
22/tcp   filtered ssh           no-response
23/tcp   filtered telnet        no-response
25/tcp   filtered smtp          no-response
80/tcp   filtered http          no-response
110/tcp  filtered pop3          no-response
139/tcp  filtered netbios-ssn   no-response
443/tcp  filtered https         no-response
445/tcp  filtered microsoft-ds  no-response
3389/tcp filtered ms-wbt-server no-response

我很好奇,我的路由器如何知道每个都是 DoS 攻击?这些案例是否nmap以某种方式积极使用?我应该担心这些攻击吗?

3个回答

在 Google 中查找这些 IP 地址会得到以下结果:

鉴于 Akamai 是一家内容提供商 (CDN),据报道一直将 Facebook 作为客户,这似乎不是真正的 DOS 攻击,而且您的路由器的保护被夸大了。您的很多员工/家庭成员是否有可能使用 Facebook,这会导致大量(合法的)Facebook 回复进入您的路由器?路由器可能会将此视为 DOS 攻击,而实际上并非如此。“扫描”来自源端口 443,即 TLS (HTTPS) 端口这一事实支持了这一点。您通过 HTTPS 连接到 Facebook,他们会回复您。

您的问题中列出的其他 IP 地址似乎有点多变,但同样,这可能是一个发送大量响应的合法站点(大量 CSS、JS 等)。但是,列出端口 30372 和 18668 的那些非常狡猾。这些可能是大规模扫描的一部分,也可能只是巧合。如果他们不经常出现,我不会担心他们。

每 15 秒一个数据包不构成 DoS 攻击。

你说这是一个基本的Netgear路由器。这些路由器通常被宣传为具有特殊的固件功能,可以保护您免受“互联网威胁”;他们实际上拥有的是一个普通的NAT 路由器,它被配置为以最令人担忧的语言记录异常情况。您看到的日志条目是原始IDS的结果“看!我正在做某事!我正在做某事!” 试图让你相信它正在保护你免受真正的威胁。

88.221.82.74 是 Akamai 内容交付网络的一部分,而 31.13.91.117 是 Facebook 网络的一部分。端口 443 上的 TCP ACK 很可能是合法流量(已重新发送的数据包的延迟 ACK,或 Internet 中的其他故障)。其他日志条目可能来自 DDoS 攻击、大规模自动端口扫描和 Internet 的其他背景噪音的反向散射。

我目前无法添加评论,否则我会添加评论,但我会查看端口 49152 是否打开。基板管理控制器中有一个已知漏洞,可以很容易地获得管理员密码。

http://arstechnica.com/security/2014/06/at-least-32000-servers-broadcast-admin-passwords-in-the-clear-advisory-warns/

目前,nmap 扫描显示您的内部网络,我建议针对您的互联网服务提供商提供的外部 IP 地址运行 nmap。你可以从

http://www.whatsmyip.org/

关于您的实际问题,看起来您可能会受到打击,但也可能只是您被包含在内的大规模扫描。您的路由器正在断开连接,因此您实际上无需担心任何事情。

其它你可能感兴趣的问题
上一篇如何缓解 UDP 泛洪攻击? 下一篇应该过滤每个输出元素,还是只过滤那些包含用户可编辑数据的元素?