У меня есть эти строки в журнале активности моего маршрутизатора:
Intrusion _> IN=ppp0.1 OUT= SRC=94.139.999.999 DST= Masked.xxx.xxx.xx9 PROTO=TCP SPT=49454 DPT=85
Каждую секунду появляется новый журнал. Числа меняются немного каждый раз.
Что здесь происходит?
Вы не должны беспокоиться об этом сообщении.
Это просто говорит о том, что кто-то с указанным исходным IP-адресом пытался проникнуть в ваш маршрутизатор, если это полное сообщение. Если сообщение также включает в себя порты, то исходный IP, скорее всего, просто просканировал вашу сеть на наличие открытых портов.
Сообщение довольно распространено в любом брандмауэре, есть целые ботнеты, которые просто сканируют ваши порты и пытаются войти в ваш маршрутизатор, используя имя пользователя / пароль по умолчанию. Это не значит, что кто-то действительно вошел в ваш роутер.
Убедитесь, что вы изменили свой пароль и просто чтобы убедиться, что вы можете перезагрузить маршрутизатор после этого. Если у вас не должно быть простоев, тогда это нормально.
Похожие посты об этом:
@ superuser.com - Что такое вторжение ядра на мой маршрутизатор?
Вторжение ядра на мой роутер
Как правило, это «большой плохой интернет, стучащий в вашу дверь». И если вы не откроете эту дверь, все в порядке.
Не зная конкретного поставщика / модели вашего маршрутизатора, я бы сказал, что ваш маршрутизатор обнаружил попытку вторжения и зарегистрировал ее. Не о чем беспокоиться.
На случай, если вам интересно, записи в строке раскрывают еще некоторые детали:
IN: используемый интерфейс, ppp0.1 здесь, вероятно, относится к порту WAN к вашему провайдеру.OUT: исходящий интерфейс, так как нечего передавать / отправлять, он не установлен.SRC: исходный IP-адрес нарушающего соединения.DST: IP-адрес вызывающего соединения (должен быть WAN-IP вашего маршрутизатора).PROTO: используемый протокол, TCP / IP здесь.SPT: исходный порт нарушающего соединения (обычно ничего не значит, так как он автоматически назначается системой на основе неиспользуемых портов).DPT: порт назначения, то есть то, к чему пытались подключиться на вашем конце.Порт 85 обычно используется "ML MIT Device" (понятия не имею, что это такое, на самом деле :)), но он также используется троянами.
Так что здесь произошло? Ничего необычного, правда. В сочетании с другими записями журнала (которые, как правило, должны включать в себя разные записи для DPT , а также, возможно, разные SRC ), обычно это просто так называемое сканирование портов. Какой-то другой компьютер (или сеть компьютеров) ищет открытые порты, т.е. порты, принимающие соединения. Они могут указывать на потенциальную поверхность атаки для эксплойтов и т.д.
Должны ли вы беспокоиться? Нет, явно нет. Ваш маршрутизатор определил попытку сканирования порта (которая считается потенциальной попыткой вторжения; следовательно, записи в журнале), поэтому, вероятно, автоматически отклоняет все дальнейшие входящие соединения с этих портов, даже если они будут открыты. Дважды проверьте, есть ли у вас какие-либо перенаправленные порты (вы не должны, если вы не предоставляете определенные серверы / услуги для общественности). Важно отметить, что слишком много веб-сайтов и отделов поддержки игр говорят своим игрокам "перенаправлять порты", даже если они используются только в исходящем направлении, а форвард только добавляет поверхность атаки без каких-либо выгод.