DOMANDA Registro router, dati preoccupanti

[il sognatore Jones]

Buonasera a tutti!
Siccome è da un paio di giorni che sto avendo disconnessioni che durano anche diversi minuti e che non dipendono dall'ISP (Eolo funziona bene) ma dal mio sistema Mesh Orbi, ho voluto dare un'occhiata alle impostazioni del router e ho disattivato l'UPnP e controllato il registro anche se non ci capisco niente.
C'è una sfilza di righe così

[DHCP IP: 192.168.1.4] to MAC address 60:74:f4:0b:51:8e, Friday, September 27, 2024 19:35:40

ogni volta con IP e MAC address diverso e oltre a questi ho trovato anche questi comandi

Spoiler

[Internet disconnected] Friday, September 27, 2024 19:26:04
[DoS Attack: SYN/ACK Scan] from source: 89.208.103.116, port 777, Friday, September 27, 2024 19:25:07
[admin login] from source 192.168.1.10, Friday, September 27, 2024 19:25:01
[DoS Attack: SYN/ACK Scan] from source: 89.208.103.116, port 777, Friday, September 27, 2024 19:23:02
[DoS Attack: ACK Scan] from source: 103.145.5.94, port 60041, Friday, September 27, 2024 19:20:30
[DoS Attack: SYN/ACK Scan] from source: 138.113.223.152, port 443, Friday, September 27, 2024 19:19:04
[DoS Attack: SYN/ACK Scan] from source: 138.113.223.152, port 443, Friday, September 27, 2024 19:17:09
[DoS Attack: SYN/ACK Scan] from source: 89.208.103.116, port 777, Friday, September 27, 2024 19:04:59
[DoS Attack: SYN/ACK Scan] from source: 195.133.2.91, port 777, Friday, September 27, 2024 18:59:09
[DoS Attack: SYN/ACK Scan] from source: 138.113.223.152, port 443, Friday, September 27, 2024 18:57:18
[DoS Attack: ACK Scan] from source: 103.145.5.94, port 60041, Friday, September 27, 2024 18:56:28
[DoS Attack: SYN/ACK Scan] from source: 195.133.2.91, port 777, Friday, September 27, 2024 18:55:16
[DoS Attack: SYN/ACK Scan] from source: 89.208.103.116, port 777, Friday, September 27, 2024 18:54:14
[DoS Attack: SYN/ACK Scan] from source: 89.208.103.116, port 777, Friday, September 27, 2024 18:51:54
[DoS Attack: RST Scan] from source: 13.107.246.33, port 80, Friday, September 27, 2024 18:51:30
[DoS Attack: SYN/ACK Scan] from source: 89.208.103.116, port 777, Friday, September 27, 2024 18:49:43

Sapreste dirmi cosa significa tutto ciò?

 

[sp3ctrum]

A quanto pare, ti stanno dossando, ma non so come funziona Eolo, ha ip statico o dinamico?

Il router ha un firewall, un anti ddos?

 

[r3dl4nce]

Hai Eolo FWA? O fibra?
Comunque hai richiesto, in fase di attivazione o in seguito, l'IP pubblico statico, e sul tuo IP hai tentativi di port scan e DoS dall'esterno, forse perché hai esportato servizi che sono stati trovati e appunto te li vogliono bloccare o più semplicemente i soliti bot di scansione di tutti gli IP hanno trovato il tuo IP in uso e stanno cercando di effettuare tentativi di intrusione.
Devi avere un router con un buon firewall e bloccare subito le risposte ICMP su IP pubblico, anche solo temporaneamente, per far sì che sembri l'IP non sia in uso, ovviamente disattiva tutte le porte aperte all'esterno, soprattutto servizi su porte standard. Poi imposta un buon sistema di intrusion detect o se non altro almeno un firewall avanzato che possa bloccare tentativi ripetuti di scansione dallo stesso IP, bloccandolo per X giorni o in modo definitivo

 

[il sognatore Jones]

A quanto pare, ti stanno dossando, ma non so come funziona Eolo, ha ip statico o dinamico?

Il router ha un firewall, un anti ddos?

Utilizzo IP statico

Hai Eolo FWA? O fibra?
Comunque hai richiesto, in fase di attivazione o in seguito, l'IP pubblico statico, e sul tuo IP hai tentativi di port scan e DoS dall'esterno, forse perché hai esportato servizi che sono stati trovati e appunto te li vogliono bloccare o più semplicemente i soliti bot di scansione di tutti gli IP hanno trovato il tuo IP in uso e stanno cercando di effettuare tentativi di intrusione.
Devi avere un router con un buon firewall e bloccare subito le risposte ICMP su IP pubblico, anche solo temporaneamente, per far sì che sembri l'IP non sia in uso, ovviamente disattiva tutte le porte aperte all'esterno, soprattutto servizi su porte standard. Poi imposta un buon sistema di intrusion detect o se non altro almeno un firewall avanzato che possa bloccare tentativi ripetuti di scansione dallo stesso IP, bloccandolo per X giorni o in modo definitivo

FWA. La mia offerta prevede l'utilizzo di un IP statico.
Come AV utilizzo Kaspersky Total Security.
Non ci ho capito nulla della seconda parte. Ho disattivato semplicemente l'UPnP
In che senso ho esportato servizi?

Mi sono fatto aiutare da ChatGPT e mi ha guidato sul menu del mio router ma non trovo la voce ICMP in "Protocollo"

Spoiler

Ma il problema dipende dall'avere un ip statico? Ho chiesto diverse volte a Eolo di farmelo diventare pubblico ma dicono che dovrei disattivare la mia offerta e quindi dovrei pagare.

 

[r3dl4nce]

Ma il router è quello fornito da Eolo?

 

[il sognatore Jones]

Ma il router è quello fornito da Eolo?

No, Eolo mi ha dato un tp-link che non l'ho nemmeno tolto dalla scatola. Ho acquistato un sistema mesh router+satellite Orbi, che poi sarebbe Netgear ma mi fa totalmente schifo.

 

[r3dl4nce]

Se hai IP pubblico sta a te gestire tutte le richieste, io metterti un buon router con firewall valido

 

[il sognatore Jones]

E come si ottiene un IP privato?

 

[r3dl4nce]

Se hai IP pubblico o sei dietro CGNAT lo stabilisce il fornitore della connettività, probabilmente alla stipula del contratto hai richiesto che venisse fornito IP pubblico, forse per fornire servizi all'esterno, esempio accesso remoto a tlecamere di videosorveglianza, NAS, pubblicazione server di videogiochi tipo miìnecraft, ecc ecc
Alla fine ti basterebbe mettere un buon router che abbia di base funzioni di firewall standard più che adeguate in ambito consumer e saresti a posto

 

[il sognatore Jones]

in fase di contratto ho scelto i pacchetti che mi consentivano di avere il Ping più basso e la velocità maggiore. Loro mi hanno assegnato ip statico perché era incluso nel pacchetto.
E se acquistassi una vpn?
Ma questi attacchi dos come avvengono? Gli basta conoscere l’ip per fare un attacco?

 

[r3dl4nce]

Sì ma non è nulla di strano, semplicemente ti mandano particolari pacchetti icmp per cercare di saturare la banda. Un router con un buon firewall e statemi di protezione li riconosce e mette in ban l'ip. È una soluzione basilare ma a meno che l'ip non venga proprio attaccato in modo massivo, va bene

 

[il sognatore Jones]

Sì ma non è nulla di strano, semplicemente ti mandano particolari pacchetti icmp per cercare di saturare la banda. Un router con un buon firewall e statemi di protezione li riconosce e mette in ban l'ip. È una soluzione basilare ma a meno che l'ip non venga proprio attaccato in modo massivo, va bene

E se dovessi acquistare un nuovo router, come farei a sapere se possiede un buon firewall? Ad esempio il FRITZ!Box 4050 avrebbe un buon firewall?

 

[r3dl4nce]

Il FritzOS per uso casalingo è valido, ha delle buone funzioni di sicurezza

 

[il sognatore Jones]

continuo a ricevere attacchi dos. me ne accorgo perché la connessione fa schifo e andando a controllare i registri vedo una sfilza lunghissima di attacchi dos.

Ho trovato anche un ARP ATTACK sull’ip della tv che ho in cucina. Ho già provveduto a scollegarla dalla rete.
Ma non si possono denunciare ste merde?

[DoS Attack: ARP Attack] from source: 192.168.1.8, Thursday, October 17, 2024 00:32:17

 

[r3dl4nce]

Ok denuncia il produttore della tv allora.
Semplicemente probabilmente la tv ha, fatto delle richieste multicast sulla rete locale per trovare server dlna o altri provider di contenuti multimediali.
Se la connessione è lenta, c'è da capire perché.

Stacca tutto, spengi il wifi del fritz collega solo un pc via cavo ethernet cat 6 al Fritz e esegui uno speedtest, posta screen del risultato