Сообщения о вторжении маршрутизатора в журнал активности. Что они имеют в виду?

451
Dude99

У меня есть эти строки в журнале активности моего маршрутизатора:

Intrusion _> IN=ppp0.1 OUT= SRC=94.139.999.999 DST= Masked.xxx.xxx.xx9 PROTO=TCP SPT=49454 DPT=85

Каждую секунду появляется новый журнал. Числа меняются немного каждый раз.

Что здесь происходит?

0
В будущем, если вы снова публикуете журналы из своей системы, обязательно всегда маскируйте IP-адреса. Они могут быть статическими или все еще действительными, когда вы публикуете свой вопрос, и теоретически могут выявлять уязвимости в вашей системе, например: «Вот, посмотрите, на улице Пример № 5 у нас разбитое окно, и мы в отпуске». :) Mario 6 лет назад 0

2 ответа на вопрос

1
Fanatique

Вы не должны беспокоиться об этом сообщении.

Это просто говорит о том, что кто-то с указанным исходным IP-адресом пытался проникнуть в ваш маршрутизатор, если это полное сообщение. Если сообщение также включает в себя порты, то исходный IP, скорее всего, просто просканировал вашу сеть на наличие открытых портов.

Сообщение довольно распространено в любом брандмауэре, есть целые ботнеты, которые просто сканируют ваши порты и пытаются войти в ваш маршрутизатор, используя имя пользователя / пароль по умолчанию. Это не значит, что кто-то действительно вошел в ваш роутер.

Убедитесь, что вы изменили свой пароль и просто чтобы убедиться, что вы можете перезагрузить маршрутизатор после этого. Если у вас не должно быть простоев, тогда это нормально.

Подобные сообщения об этом:
@ superuser.com - Что такое вторжение ядра на мой маршрутизатор?
Вторжение ядра на мой роутер

Как правило, это «большой плохой интернет, стучащий в вашу дверь». И если вы не откроете эту дверь, все в порядке.

0
Mario

Не зная конкретного поставщика / модели вашего маршрутизатора, я бы сказал, что ваш маршрутизатор обнаружил попытку вторжения и зарегистрировал ее. Не о чем беспокоиться.

На случай, если вам интересно, записи в строке раскрывают еще некоторые детали:

  • IN: Используемый интерфейс, ppp0.1здесь, вероятно, относится к порту WAN к вашему провайдеру.
  • OUT: Исходящий интерфейс, так как нечего передавать / отправлять, он не установлен.
  • SRC: Исходный IP-адрес нарушающего соединения.
  • DST: IP-адрес поврежденного соединения (должен быть WAN-IP вашего маршрутизатора).
  • PROTO: Используемый протокол, TCP / IP здесь.
  • SPT: Порт источника нарушающего соединения (обычно ничего не значит, так как он автоматически назначается системой на основе неиспользуемых портов).
  • DPT: Порт назначения, то есть то, к чему пытались подключиться на вашем конце.

Порт 85 обычно используется «ML MIT Device» (понятия не имею, что это такое, на самом деле :)), но он также используется троянами.

Так что здесь произошло? Ничего необычного, правда. В сочетании с другими записями журнала (которые, как правило, должны включать в себя разные записи DPT, возможно, также и разные SRC), это обычно просто так называемое сканирование портов. Какой-то другой компьютер (или сеть компьютеров) ищет открытые порты, т.е. порты, принимающие соединения. Они могут указывать на потенциальную поверхность атаки для эксплойтов и т. Д.

Должны ли вы беспокоиться? Нет, явно нет. Ваш маршрутизатор определил попытку сканирования порта (которая считается потенциальной попыткой вторжения; следовательно, записи в журнале), поэтому, вероятно, автоматически отклоняет все дальнейшие входящие соединения с этих портов, даже если они будут открыты. Дважды проверьте, есть ли у вас какие-либо перенаправленные порты (вы не должны, если вы не предоставляете определенные серверы / услуги для общественности). Важно отметить, что слишком много веб-сайтов и отделов поддержки игр говорят своим игрокам «перенаправлять порты», даже если они используются только в исходящем направлении, а форвард только добавляет поверхность атаки без каких-либо выгод.

Похожие вопросы