PDA

Visualizza versione completa : Attacchi al router... possibile?


Mc|Atm0s
18-03-2007, 10.22.38
Ho da poco acquistato un router wireless Philips SNA6500/00.
Nel security log ogni tanto compaiono messaggi del tipo:

**ICMP Redirect** 85.218.xxx.xxx->> 151.xx.xxx.xx, Type:5, Code:1 (from ATM1 Inbound)
oppure
**SYN Flood to Host** 213.202.xxx.xxx, 55660->> 151.xx.xxx.xx (from ATM1 Inbound)
o ancora
**Smurf** 217.125.xxx.x, 19210->> 192.168.2.x, 12043 (from ATM1 Inbound)

Sono tutti attacchi DOS? Ma la domanda pi importante ... VENGONO TUTTI RESPINTI???

Come faccio a sapere se qualche intruso si infila nella mia rete? (Premesso che ho disabilitato il DHCP e ho attivato i filtri per gli indirizzi MAC, oltre al Firewall e al WPA...)

LoryOne
18-03-2007, 12.07.31
Probabilmente si, se si ha una visione d'insieme delle tre tecniche impiegate.
Nel primo caso il tuo router ha sniffato il pacchietto ICMP-IP ed ha identificato:
Tipo 5: Redirect
Codice 1: Redirect datagram to the host.
In questo caso il tuo router viene utilizzato per reindirizzare il traffico verso qualcun altro

Nel secondo caso un vecchio DoS, il SYN-flood ancora in voga e difficilmente arginabile, a meno che non si agisca su alcune impostazioni del protocollo TCP per limitare al massimo le connessioni in stato di SYN, ossia quelle che attendono il completamento dell handshake a tre vie SYN/SYN-ACK/ACK

Nel terzo caso un altro vecchio DoS, lo Smurf che agisce sull' invio di pacchetti ICMP-Echo request contraffatti ad un indirizzo di broadcast di rete al fine di inondare di risposte l'host bersaglio ed esaurire le sue risorse.

Il firewall va bene, il WPA ottimo purch utilizzi password forti ma il filtro MAC beh ... diciamo che l' ARP spoofing impossibile da evitare.
Ad ogni modo, credo che sia utile verificare che tu non sia stato scelto come uno tra le vittime (o anche l'artefice inconsapevole) di un attacco DoS distribuito (DDoS).