PROBLEMA Tentativi di intrusione continuii sul Router

[Luc1]

Questo è il log del mio router, la cosa sta iniziando ad infastidirmi parecchio, come posso impedire che il mio router riceva tutte queste richieste di continuo?Siccome ho evidenti cali di prestazioni sul router che mi disconnette dalla wi fi o smette di rispondere alle mie richeiste di accesso.



Grazie per le risposte

 

[Il cecchino Jackson]

Questo è il log del mio router, la cosa sta iniziando ad infastidirmi parecchio, come posso impedire che il mio router riceva tutte queste richieste di continuo?Siccome ho evidenti cali di prestazioni sul router che mi disconnette dalla wi fi o smette di rispondere alle mie richeiste di accesso.

Visualizza allegato 194946

Grazie per le risposte

non ti so rispondere,ma probabilmente altri si..tuttavia volevo chiederti,se posso scusa, come si ottiene quel log? grazie

 

[Luc1]

non ti so rispondere,ma probabilmente altri si..tuttavia volevo chiederti,se posso scusa, come si ottiene quel log? grazie

Dipende dal modello di router, alcuni permettono diversi livelli di visualizzazione nei log a seconda del tipo,gravità e oggetto del log.In generale anche i più vecchi permettono di mostrare il log di sistema(sezione amministratore/management) ma non di modificare quali oggetti vengono visualizzati.

Sul mio modello è possibile scegliere, in default il log mi mostra i seguenti tipologie di eventi:

 

[Il cecchino Jackson]

Dipende dal modello di router, alcuni permettono diversi livelli di visualizzazione nei log a seconda del tipo,gravità e oggetto del log.In generale anche i più vecchi permettono di mostrare il log di sistema(sezione amministratore/management) ma non di modificare quali oggetti vengono visualizzati.

Sul mio modello è possibile scegliere, in default il log mi mostra i seguenti tipologie di eventi:
Visualizza allegato 194947

ah ma non è una cosa che ricavo dal sito del modem giusto?(per capirci andando al 198.168 ecc)
boh io ho un modem alice,indagherò

 

[Luc1]

ah ma non è una cosa che ricavo dal sito del modem giusto?(per capirci andando al 198.168 ecc)
boh io ho un modem alice,indagherò

Invece è proprio da li che si prende il log.
Accedi al router digitando l'indirizzo del gateway e cerca nella sezione giusta il log.

 

[Alex2002ita]

Questo è il log del mio router, la cosa sta iniziando ad infastidirmi parecchio, come posso impedire che il mio router riceva tutte queste richieste di continuo?Siccome ho evidenti cali di prestazioni sul router che mi disconnette dalla wi fi o smette di rispondere alle mie richeiste di accesso.

Visualizza allegato 194946

Grazie per le risposte

Prova a mettere nella blacklist del router gli indirizzi IP e MAC, in modo che questo furbetto non tenti di nuovo di entrare.
Intanto abilita ogni difesa che il router ti offre e blocca queste entrate e metti che blocchi anche eventuali intrusi futuri. Disabilita il WPS.
Sei da solo o abiti vicino ad'altre persone? Vedi che qualcuno ti ha adocchiato e vuole la tua rete, indaga un po'. Meglio se cominci a prendere misure di sicurezza e in fretta, perchè se sto brutto signore invia troppi tentativi di entrare manda in crash tutto il sistema e dopo forse riesce ad entrare. Per ultima cosa metti una password complessa.

 

[Luc1]

Prova a mettere nella blacklist del router gli indirizzi IP e MAC, in modo che questo furbetto non tenti di nuovo di entrare.
Intanto abilita ogni difesa che il router ti offre e blocca queste entrate e metti che blocchi anche eventuali intrusi futuri. Disabilita il WPS.
Sei da solo o abiti vicino ad'altre persone? Vedi che qualcuno ti ha adocchiato e vuole la tua rete, indaga un po'. Meglio se cominci a prendere misure di sicurezza e in fretta, perchè se sto brutto signore invia troppi tentativi di entrare manda in crash tutto il sistema e dopo forse riesce ad entrare. Per ultima cosa metti una password complessa.

Quindi tu sostieni che sia una singola persona che stia tentando di entrare?Vivo in città quindi potrebbe essere anche plausibile, ma mi dovrei aspettare un singolo indirizzo IP come sorgente di attacco, invece esso cambia ogni volta ad ogni avviso.
Il mio router ha già disattivato il WPS, ha attivo il firewall interno sul traffico del circuito WAN, ed ha sia la wi fi che il router stesso password alfa numeriche di 12 caratteri(speciali,capitali e minuscoli) non pronunciabili generata con last pass.
In ogni caso il mio router ha la possibilità di settare regole di IP filtering(fino a 38 regole) ma gli IP sorgenti qui cambiano ad ogni tentativo, da un veloce analisi di alcuni IP esce fuori paesi come korea,ecuador,USA,Polonia e ovviamente la grande Madre Russia; spero che mi bastino 38 regole per bloccare queste richieste...ma la vedo difficile se non impossibile.

 

[Alex2002ita]

Quindi tu sostieni che sia una singola persona che stia tentando di entrare?Vivo in città quindi potrebbe essere anche plausibile, ma mi dovrei aspettare un singolo indirizzo IP come sorgente di attacco, invece esso cambia ogni volta ad ogni avviso.
Il mio router ha già disattivato il WPS, ha attivo il firewall interno sul traffico del circuito WAN, ed ha sia la wi fi che il router stesso password alfa numeriche di 12 caratteri(speciali,capitali e minuscoli) non pronunciabili generata con last pass.
In ogni caso il mio router ha la possibilità di settare regole di IP filtering(fino a 38 regole) ma gli IP sorgenti qui cambiano ad ogni tentativo, da un veloce analisi di alcuni IP esce fuori paesi come korea,ecuador,USA,Polonia e ovviamente la grande Madre Russia; spero che mi bastino 38 regole per bloccare queste richieste...ma la vedo difficile se non impossibile.

Potrebbe essere una sola persona con programmi che falsificano IP, MAC e nazione stando sempre sullo stesso dispositivo o anche più persone con lo stesso metodo detto adesso (dubito su quest'ultima opzione, dato che sarebbe molto strano che più persone vogliano la tua rete), un'altra mia ipotesi e un'attacco via internet. Intanto attiva anche il MAC Filtering insieme all'IP Filtering e la protezione ad attacchi DoS (sul mio router di sei anni fa ci sono queste impostazioni e vedi se hai anche l'opzione contro attacchi DDoS, che io non ho), prova a ridurre la potenza del WiFi, mettendo una frequenza a 2,4 GHz (o anche minore se c'è, ma non credo, sempre sul mio modem c'è solo la 2,4 GHz dato che è vecchio) se sta messa sui 5 GHz, così hai il wifi più ristretto nell'area di casa tua e diminuiscono le possibiltà che qualcuno la trovi e tenti di entrare.

Se ti ho suggerito di disattivare il WPS e perchè ho letto che è vulnerabile, non ricordo di preciso come ma lo è. Fortuna che sul mio router non c'è questa opzione.

Vai su questo sito rom-0 test e clicca su test senza toccare l'IP messo e aspetta un po' di tempo, vedi sotto che esce una scritta che indica se hai il router vulnerabile o meno, si riesce a capire se la scritta in questione è verde o rossa, casomai fai uno screen.

Per ultimo, ma non meno importante, fai questa prova:
Start-Prompt dei comandi-Tasto destro del mouse su questo file-Esegui come amministratore e inserisci il codice sulla finestra che ti esce, clicchi invio e fai uno screen del risultato (deve dirti i server DNS che hai adesso): nslookup

La password che usi per accedere al pannello di controllo del router modificala con una più complessa oltre al wifi (quella predefinita in genere è admin come user e admin come password), per evitare che questo tipo entri non riesca ad accedere al pannello di controllo del router.

 

[Luc1]

Potrebbe essere una sola persona con programmi che falsificano IP, MAC e nazione stando sempre sullo stesso dispositivo o anche più persone con lo stesso metodo detto adesso (dubito su quest'ultima opzione, dato che sarebbe molto strano che più persone vogliano la tua rete), un'altra mia ipotesi e un'attacco via internet. Intanto attiva anche il MAC Filtering insieme all'IP Filtering e la protezione ad attacchi DoS (sul mio router di sei anni fa ci sono queste impostazioni e vedi se hai anche l'opzione contro attacchi DDoS, che io non ho), prova a ridurre la potenza del WiFi, mettendo una frequenza a 2,4 GHz (o anche minore se c'è, ma non credo, sempre sul mio modem c'è solo la 2,4 GHz dato che è vecchio) se sta messa sui 5 GHz, così hai il wifi più ristretto nell'area di casa tua e diminuiscono le possibiltà che qualcuno la trovi e tenti di entrare.

Se ti ho suggerito di disattivare il WPS e perchè ho letto che è vulnerabile, non ricordo di preciso come ma lo è. Fortuna che sul mio router non c'è questa opzione.

Vai su questo sito rom-0 test e clicca su test senza toccare l'IP messo e aspetta un po' di tempo, vedi sotto che esce una scritta che indica se hai il router vulnerabile o meno, si riesce a capire se la scritta in questione è verde o rossa, casomai fai uno screen.

Per ultimo, ma non meno importante, fai questa prova:
Start-Prompt dei comandi-Tasto destro del mouse su questo file-Esegui come amministratore e inserisci il codice sulla finestra che ti esce, clicchi invio e fai uno screen del risultato (deve dirti i server DNS che hai adesso): nslookup

La password che usi per accedere al pannello di controllo del router modificala con una più complessa oltre al wifi (quella predefinita in genere è admin come user e admin come password), per evitare che questo tipo entri non riesca ad accedere al pannello di controllo del router.

Il mio router non dispone di un servizio anti-DDoS, ho già attivo un mac filtering ma sul wi -fi, il filtro MAC sul circuito WAN si può attivare solo se il circuito è impostato su Bridged WAN; la wi fi è impostata su 2.5 ghz e credimi che non riesce a coprire quasi i miei 80mq di appartamento.

Il test Rom-0 ha esito positivo(scritta verde "Address probably not vulnerable").

Non è molto chiaro il discorso per il nslookup,per "codice" intendi forse il mio indirizzo ip ?Beh in quel caso questo è il risultato:

Non mostra i server DNS, ma alcune in formazioni di base sul mio ISP e il mio gateway. I server DNS li ho manualmente cambiati io con quelli di google.

Come ti ho già detto in precedenza sia la wi fi che il pannello di controllo web del trouter hanno password DIVERSE alfa numeriche con caratteri speciali,e lettere capitali/minuscole generate da me con Last Pass

 

[Alex2002ita]

Il mio router non dispone di un servizio anti-DDoS, ho già attivo un mac filtering ma sul wi -fi, il filtro MAC sul circuito WAN si può attivare solo se il circuito è impostato su Bridged WAN; la wi fi è impostata su 2.5 ghz e credimi che non riesce a coprire quasi i miei 80mq di appartamento.

Il test Rom-0 ha esito positivo(scritta verde "Address probably not vulnerable").

Non è molto chiaro il discorso per il nslookup,per "codice" intendi forse il mio indirizzo ip ?Beh in quel caso questo è il risultato:
Visualizza allegato 195393
Non mostra i server DNS, ma alcune in formazioni di base sul mio ISP e il mio gateway. I server DNS li ho manualmente cambiati io con quelli di google.

Come ti ho già detto in precedenza sia la wi fi che il pannello di controllo web del trouter hanno password DIVERSE alfa numeriche con caratteri speciali,e lettere capitali/minuscole generate da me con Last Pass

Anche se non hai un servizio anti-DDoS, credo che uno sulla protezione da attacchi DoS ci sia (sul router che ho c'è e ricorda che gli attacchi DoS e DDoS sono differenti). Strano che per attivare il MAC Filtering sulla WAN, è necessario attivare un bridge, non so se comporta problemi di sicurezza questo "ponte", ma se per attivare questo filtro devi abilitare questa opzione, prova e vedi se la situazione migliora. Mi correggo, 5 GHz anche se sono migliori dei 2,4 hanno un raggio d'azione più ristretto rispetto a quest'ultimi, anche se il tuo wifi non riesce a coprire tutta casa tua, ciò non significa che all'esterno il segnale non sia più libero, dato che il wifi ha un segnale forte e/o debole in base agli ostacoli presenti in casa (muri, immobili, interferenze ecc.). Se puoi sposta il router più all'interno della tua casa.

Buona cosa che il test ROM-0 ha avuto esito negativo, quindi non sei vulnerabile.

Per "codice", intendevo la stringa nslookup e nient'altro, quindi rifai lo stesso test ma senza mettere il tuo IP e vedi che sta volta dovrebbe dirti solo i DNS (anche se hai impostato quelli google qualcuno li avrà modificati probabilmente)

Dato questa circostanza, cambia le password al pannello di controllo e wifi, però per sicurezza cerca di non farla dal tuo wifi, quindi generale diverse su last pass per ognuna dei due ma da un'altra parte, per evitare che questo furbetto possa leggere i tuoi dati e prendere le password dal tuo wifi.

Se poi la situazione non cambia, passo ai miei ultimi consigli e dopo questi, non credo che potrei avere altri aiuti da offrirti, e quindi aspettare altre risposte oltre alle mie, però non abbandoniamo le speranze! ;)

 

[Luc1]

Inserendo solo nslookup nel cmd ottengo questo:


Dopodichè non posso fare più nulla, posso scrivere altri comandi(che non conosco) ma non mi mostra le mie DNS.

Comunque cercando a(a fondo) su google ho trovato questo che credo tolga ogni dubbio:

When I first read this I thought it didn't make sense because something cannot 'intrude' in a kernel. However Googling it I found similarposts (which also give the answer), but also list that the message was something like:kernel: Intrusion detected from ...
which means something quite different.
The kernel (software) on your router is letting you know that somebody tried to connect ('intrude') to your WAN IP address.
This happens all the time, entire botnets are dedicated to trying to connect to random IP addresses at certain ports to try default user/password combinations to see if they can find weak security somewhere. However because the router denies this, there is no problem.
Summarizing: the 'intrusions' being detected are harmless, you should worry more about the ones that are not logged ;)

 

[Alex2002ita]

Inserendo solo nslookup nel cmd ottengo questo:
Visualizza allegato 195989

Dopodichè non posso fare più nulla, posso scrivere altri comandi(che non conosco) ma non mi mostra le mie DNS.

Comunque cercando a(a fondo) su google ho trovato questo che credo tolga ogni dubbio:

Verifica le impostazioni DNS su i settaggi su Windows se non sono stati modificati da qualche virus, per esserne sicuri.

When I first read this I thought it didn't make sense because something cannot 'intrude' in a kernel. However Googling it I found similarposts (which also give the answer), but also list that the message was something like:kernel: Intrusion detected from ...
which means something quite different.
The kernel (software) on your router is letting you know that somebody tried to connect ('intrude') to your WAN IP address.
This happens all the time, entire botnets are dedicated to trying to connect to random IP addresses at certain ports to try default user/password combinations to see if they can find weak security somewhere. However because the router denies this, there is no problem.
Summarizing: the 'intrusions' being detected are harmless, you should worry more about the ones that are not logged ;)

Allora se questo utente dice che queste intrusioni nel kernel del router siano "innocue" (infatti nel tuo log sono tentativi di intrusione nel kernel), potresti anche smettere di preoccuparti, anche se pare ti crei fastidio mentre navighi in internet. Prova a staccare il router per delle ore o anche un giorno e poi ricollegalo e vedi se continuano.

 

[RobertNestaMarley]

putroppo anche io ho questo problema, ovvero ogni giorno risultano molteplici tentativi di intrusione, questo è di oggi
ROM-0 dici che l'indirizzo non dovrebbe essere vulnerabile, il problema è che ho paura che prima o poi riescano ad entrare , che devo fare ?? in piu, avvolte la connessione rallenta di molto e credo sia colpa di determinati attacchi, tipo ddos :/