Zdar, 1.3. jsem v logu nasel ddos utok, 2.3 rano zase. Zdrojova adresa pokazde jina,nicmene pokazde odkazuje do oblasti kolem Ohia v americe...

03/01/2025 06:00:12 [warning][Firewall][DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=1c:93:7c:91:a4:2b:00:01:5c:a1:68:46:08:00:45:00:00:3c SRC=18.119.11.223 DST=89.102.105.226 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=51006 DF PROTO=TCP SPT=60918 DPT=11099 WINDOW=62727 RES=0x00 SYN URGP=0 ]

 

03/02/2025 05:48:03DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=1c:93:7c:91:a4:2b:00:01:5c:a1:68:46:08:00:45:00:00:3c SRC=3.14.73.254 DST=89.102.105.226 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=11735 DF PROTO=TCP SPT=50730 DPT=5556 WINDOW=62727 RES=0x00 SYN URGP=0

Nekdo z ameriky se nudi?

Taky to mám v routeru

Edited March 2, 20251 yr by Technikus

Mame tady dalsi, par minut cerstvy zaznam...

Především nejdůležitější, podle logu se nejedná o DDoS (distributed denial-of-service), ale prosté banální DoS (denial-of-service), více například na https://cs.wikipedia.org/wiki/Denial_of_service (a to říkám kdo ví jestli, podle mě je TCP SYN Flooding jako způsob útoku už hodně dlouho z módy).

 

Co to může znamenat? Cokoli. Může se jednat o zbloudilý provoz (jednou se mi podařilo dostat sama sebe pod takovýto útok), může to být pokus o průnik, může to znamenat, že dříve na této IP adrese byl nějaký bot, může to být pouhý šum, může to být naprosto cokoli. Mě chodí na router zvenku 1000 nelegitimních paketů za hodinu. V průměru co čtyři sekundy něco.

 

Co s tím? Jsou v podstatě dvě možnosti.

1. Pokud máte router v defaultu a neběží vám doma žádné služby, ke kterým se připojujete zvenku, tak bych to vůbec neřešil, logy pro zachování vlastního duševního zdraví nečetl. Útočník neprojde a bez DDoS linku nezahltí. Doporučuji.
2. Něco z předpokladů v bodě jedna není pravda a/nebo vás to zajímá, chcete se vzdělat, nebo prostě jenom homelabovat. Pokud Vodafone Station reagoval tak, jak reagoval, tak se opět potvrzuje, že je to piece of^H^H^H^H^H^H^H^Hnepříliš podařený router pro pokročilé použití. V tom případě je potřeba pořídit vlastní router, Vodafone Station shodit  nikoli ze skály ale do bridge a začít laborovat. Stojí to cosi peněz, hodně času, ale může to být skvělá zábava.

Spis me zajimalo zda to uvidi i nekdo jiny... Jinak se to tam objevuje porad, v ruznych casovych intervalech i v dobe kdy doma neni zadny provoz (trebas v sobotu v 5 rano).... Vypadky nejak nepozoruju, neni duvod se tim nejak zabyvat...

také se mi tam objevují, ale do modemu nechodím tak často abych na to narazil

Já pozoruji útoky na SSH z různých IP z celého světa. Naštěstí to mám ošetřené několika pravidly, že po opakovaném pokusu spadne IP adresa do blacklistu na 10 dní a dále se dropuje.

V poslední době mi zamrzá internet. Nějakou chvíli mi prostě nejede, modem nereaguje. Po chvíli se to samo spraví. V Event logu modemu jsem následně našel opakované záznamy, zhruba každý den jednou:

04/17/2025	10:31:47	DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=1c:93:7c:00:9d:70:00:01:5c:b6:86:46:08:00:45:00:00:3c SRC=18.223.2.197 DST=... LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=14498 DF PROTO=TCP SPT=33130 DPT=106 WINDOW=62727 RES=0x00 SYN URGP=0				Firewall
04/16/2025	12:30:05	DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=1c:93:7c:00:9d:70:00:01:5c:b6:86:46:08:00:45:00:00:3c SRC=13.59.59.233 DST=... LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=24787 DF PROTO=TCP SPT=58158 DPT=4445 WINDOW=62727 RES=0x00 SYN URGP=0

Chápu to správně, že na mne někdo skutečně útočí? Neměla by v síti Vodafone bý nějaká ochrana proti DoS útoku?

Edited April 17, 2025Apr 17 by tesarpa
Smazání mé IP adresy

@tesarpa To žádný DoS útok není, jen normální port scan.

Takze nekdo zvenku hleda nejaky otevreny port?