web-dev-qa-db-fra.com

Est-il sûr d'ignorer les attaques DoS sur mon routeur?

Il y a plusieurs entrées dans le fichier journal de mon routeur montrant les tentatives récentes de DoS sur certains de ses ports. Ils ressemblent à ceci:

[DoS Attack: ACK Scan] from source: 213.61.245.234, port 80, Friday, November 21,2014 11:37:59
[DoS Attack: ACK Scan] from source: 80.239.159.8, port 443, Friday, November 21,2014 11:18:09
...
[DoS Attack: RST Scan] from source: 195.39.197.142, port 30732, Wednesday, November 19,2014 22:12:35
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:56:38
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:56:33
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:56:06
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:56:01
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:50
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:44
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:38
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:36
[DoS Attack: ACK Scan] from source: 31.13.91.117, port 443, Wednesday, November 19,2014 17:55:36
[DoS Attack: ACK Scan] from source: 88.221.82.74, port 443, Wednesday, November 19,2014 17:55:30
[DoS Attack: RST Scan] from source: 128.199.49.106, port 18668, Wednesday, November 19,2014 15:06:46

J'ai essayé de scanner l'adresse IP publique de mon routeur pour les ports ouverts:

Sudo nmap <my-public-ip> -Pn --reason --top-ports 10

Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-21 16:02 CET
Nmap scan report for <public-hostname> (<my-public-ip>)
Host is up, received user-set.
PORT     STATE    SERVICE       REASON
21/tcp   filtered ftp           no-response
22/tcp   filtered ssh           no-response
23/tcp   filtered telnet        no-response
25/tcp   filtered smtp          no-response
80/tcp   filtered http          no-response
110/tcp  filtered pop3          no-response
139/tcp  filtered netbios-ssn   no-response
443/tcp  filtered https         no-response
445/tcp  filtered Microsoft-ds  no-response
3389/tcp filtered ms-wbt-server no-response

Je suis curieux, comment mon routeur sait-il que chacun est une attaque DoS en premier lieu? Ces cas d'utilisation de nmap sont-ils agressifs d'une manière ou d'une autre? Et devrais-je m'inquiéter de ces attaques?

5
user24539

La recherche de ces adresses IP dans Google donne les résultats suivants:

Étant donné qu'Akamai est un fournisseur de contenu (CDN) qui a aurait eu Facebook comme client, il semble que ce ne soit pas une véritable attaque DOS et que la protection de votre routeur soit exagérée. Est-il possible qu'un grand nombre de vos employés/membres de votre famille utilisent Facebook, ce qui fait que de nombreuses réponses (légitimes) Facebook arrivent sur votre routeur? Le routeur peut voir cela comme une attaque DOS, alors que ce n'est pas le cas. Ceci est soutenu par le fait que les 'scans' proviennent du source port 443, qui est le port TLS (HTTPS). Vous êtes connecté via HTTPS à Facebook et ils vous répondent.

Les autres adresses IP répertoriées dans votre question semblent un peu plus sournoises, mais encore une fois, cela pourrait être un site légitime qui envoie beaucoup de réponses (beaucoup de CSS, JS, etc.). Cependant, ceux qui répertorient les ports 30372 et 18668 sont très sournois. Ceux-ci peuvent faire partie d'une analyse massive ou simplement une coïncidence. Je ne m'inquiéterais pas pour eux s'ils n'apparaissent pas régulièrement.

8
Michael

Un paquet toutes les 15 secondes ne constitue pas une attaque DoS.

Vous dites que c'est un routeur Netgear de base. Ces routeurs sont généralement annoncés comme ayant des fonctionnalités de micrologiciel spéciales pour vous protéger des "menaces Internet"; ce qu'ils ont en fait est un ordinaire routeur NAT configuré pour enregistrer les anomalies dans le langage le plus alarmant possible. Les entrées de journal que vous voyez sont le résultat d'une primitive IDS "Regardez! Je fais quelque chose! Je fais quelque chose!" pour essayer de vous convaincre qu'il existe une menace réelle contre laquelle il vous protège.

88.221.82.74 fait partie du réseau de diffusion de contenu d'Akamai, tandis que 31.13.91.117 fait partie du réseau de Facebook. TCP ACKs sur le port 443 sont très probablement du trafic légitime (accusés de réception retardés de paquets qui ont déjà été renvoyés ou autres problèmes sur Internet). Les autres entrées de journal sont probablement rétrodiffusées des attaques DDoS , des analyses de port automatisées à grande échelle et d'autres bruits de fond d'Internet.

4
Mark

Je ne peux pas ajouter de commentaire pour le moment ou je le ferais, mais je regarderais le port 49152 ouvert. Il existe une vulnérabilité connue dans les contrôleurs de gestion de la carte mère qui permet d'obtenir facilement les mots de passe administrateur.

http://arstechnica.com/security/2014/06/at-least-32000-servers-broadcast-admin-passwords-in-the-clear-advisory-warns/

Au moment où l'analyse nmap montre votre réseau interne, je recommanderais d'exécuter nmap contre votre adresse IP externe fournie par votre fournisseur de services Internet. Vous pouvez l'obtenir auprès de

http://www.whatsmyip.org/

En ce qui concerne votre question réelle, il semble que vous pourriez être touché, mais cela pourrait également être un scan de masse dans lequel vous êtes inclus. Votre routeur supprime les connexions, donc vous n'avez pas à vous soucier de toute façon.

1
Kurtis Brown