ルータは複数のポートをマイコンピュータにリダイレクトします。
ufw.logを調べてみると、他の国で攻撃を受けたように見える項目がたくさん見つかりました。 IPを確認してみると、悪用/ハッキングで報告されました。
ufw.logのサンプルラインです。
Oct 14 08:14:43 kernel: [252337.271031] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=213.226.123.38 DST=10.0.1.28 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=56509 PROTO=TCP SPT=49810 DPT=3389 WINDOW=1024 RES=0x00 SYN URGP=0
Oct 14 08:53:14 kernel: [254647.921581] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=79.124.62.130 DST=10.0.1.28 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=22278 PROTO=TCP SPT=46668 DPT=3389 WINDOW=1024 RES=0x00 SYN URGP=0
Oct 14 09:02:13 kernel: [255187.278445] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=64.62.197.16 DST=10.0.1.28 LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=12602 PROTO=UDP SPT=36769 DPT=3389 LEN=24
Oct 14 09:14:45 kernel: [255939.716660] [UFW BLOCK] IN=wlp4s0 OUT= MAC= **:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=185.156.74.31 DST=10.0.1.28 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=10729 PROTO=TCP SPT=53080 DPT=3389 WINDOW=1024 RES=0x00 SYN URGP=0
それ以来、ルータからマイコンピュータにリダイレクトされたポートの多くを削除しました。
だから私の質問はこんな感じです。このような攻撃はありますか?それでは、UFWはこれらの攻撃から保護するのに十分強力ですか?これは普通のことですか?つまり、攻撃者がネットワークをブロックしており、誰もがそれを持っていますか?
答え1
これは攻撃ですか?
おそらく。
それでは、UFWはこれらの攻撃から保護するのに十分強力ですか?
一般的にそうです。ただし、これらのポートの背後で実行されるサービスには注意してください。最初のアドバイスは、強力なパスワードを使用することです。これらの攻撃は通常無差別代入攻撃だからです。可能であれば、ポートをあまり開かないで、自宅でローカルVPNサーバーを使用してください。
これは普通ですか?みんな持っていますか?
はい、これは通常の現象であり、特にデフォルトポートを使用すると、誰もがこれらの攻撃に直面していると思います。たとえば、SSHへの攻撃を減らすには、ポート転送ルールを変更して選択した任意のポート(63721など)を公開すると、ローカルポート22にリダイレクトされます。 SSHのセキュリティを強化するには、既存のパスワードの代わりに公開鍵認証を使用することをお勧めします。
ああ、そしてもう一つのヒントがあります。 Fail2banを使用して悪意のあるIPを自動的にブロックすることができます。
追加情報ここ。
答え2
だから私の質問はこんな感じです。このような攻撃はありますか?
インターネットには文字通り何千万もの感染したデバイス(PC、ラップトップ、サーバー、ルーター、IoT)があり、それらはすべて簡単にスキャンします。パブリックIPv4アドレスポートを開くために使用されます。 IPv6にはあまりにも多くのアドレスが含まれているので、単に列挙するだけで、あまりにも多くのトラフィックと時間を費やし、はるかに効率的ではないので、IPv6についてはわかりません。
開いているポートが見つかると、これらのデバイスはパスワードを推測するか、そのポート/サービスに既知の脆弱性を使用しようとします(インターネット上の多くのデバイスが[正しく]更新されていないため)。
私はそれ自体を「攻撃」と呼びません。私にとって「攻撃」とは、誰かがあなたを標的にするという意味です。具体的にデバイスを損傷したり、不正アクセスを取得したい場合。あなたが見るもの自動化スキャナー/パスワード無差別代入装置。
それでは、UFWはこれらの攻撃から保護するのに十分強力ですか?
UFWはiptables / nftablesルールを管理する高度なデーモンですが、このルールで十分です。
これは普通のことですか?つまり、攻撃者がネットワークをブロックしており、誰もがそれを持っていますか?
まさに。当社には数十台のサーバーがあり、各サーバーは文字通り受信を受けています。数千これらの侵入を試みる毎日。