Сетевые атаки? Или реакция антивируса?

Обсуждение оборудования и его настройки
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Всем привет.
Ни как не пойму, что же все таки не так настроено у меня. Купил я недавно Mikrotik ROUTERBOARD 951UI-2HND. Сделал несколько правил, которые нашел на просторах инета, вроде бы сетка дома задышала и инет появился. Но на моем ПК установлен Касперский Интернет Секьюрити 2014. И после того как я настроил на маршрутизаторе сетевые правила, Каспер стал часто выдавать предупреждение "ddos syn flood attack", что такой-то такой-то ПК <ip адрес>, типа злоумышленник и его IP будет временно заблокирован! Точно сообщение не помню, но приблизительно так. И атакуются разные порты: и 40 и 1100, и 70. Причем это сообщение от антивируса может появиться в самый безобидный момент, когда к примеру, читаю статью на Яндексе, чаще всего это сообщение возникает при закачке торрентов. За час скачивания может вылезти это сообщение раз 40-50. Хотя порты в настройках торрент клиента разные прописывал и динамический тоже пробовал.
Вот у меня и пара вопросов:
1) Я правильно понимаю, что действительно мой ПК кем-то сканируется или подвергается сетевой атаке? Если так, то какие еще правила следует внести или отредактировать мои?
2) Думаю второй вопрос не связан с первым, но заметил, что периодически, не нашел пока что на это влияет, роутер может сам перезагрузиться! Или сеть отвалится и пошел минуты через 2-3 в ребут (роутер)

Прошивка самая последняя стоит.
Буду благодарен за помощь.
Спасибо!


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

В связи с трудной экономической ситуацией, штат телепатов был расформирован. Без полного конфига советов вам никто дать не сможет.


Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

plin2s писал(а):В связи с трудной экономической ситуацией, штат телепатов был расформирован. Без полного конфига советов вам никто дать не сможет.


)) Правила скину часа через 2-3 как домой с работы доберусь. Роутер то дома. Спасибо.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну Вы на другом ресурсе тоже самое спросили, а вот поиском воспользоваться не удосужились. А ведь там есть рецепт http://sysadmins.ru/topic409334.html :-)
Пробуйте, думаю это антивирь параноит...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Там, да ответили про какие-то пороги и я тогда не понял как это настроить.
Пришел вот домой, залез на роутер, хочу отобразить в терминале список правил и не могу вспомнить команду. )) Подскажите плиз как вывести на экран все созданные правила, чтобы сюда их предоставить для анализа.

А вообще еще вопрос назрел, давно еще. Я так понимаю, я сижу за НАТом провайдера. Реально ли каким-то способом проверить какие у меня порты открыты снаружи и вообще что у роутера со стороны инета? 2ip.ru и т.п. сайты пишут что все у Тебя пацан закрыто! Не парься. Но я так понимаю, они сканят получается не внешний интерфейс моего роутера, а провайдерский?


P.S. Вот, кстати, поймал сейчас Касперкино предупреждение из-за чего и тема. Зашел на сайт aimp.ru и вот...
Изображение


Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Нашел вроде как вывести список правил:

[DeniTornado@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;;
chain=input action=drop connection-state=invalid log=no log-prefix=""

1 ;;;
chain=forward action=drop connection-state=invalid log=no log-prefix=""

2 ;;;
chain=input action=accept connection-state=established log=no log-prefix=""

3 ;;;
chain=forward action=accept connection-state=established log=no log-prefix=""

4 ;;;
chain=input action=accept connection-state=related log=no log-prefix=""

5 ;;;
chain=forward action=accept connection-state=related log=no log-prefix=""

6 ;;; ,
chain=input action=drop protocol=icmp src-address-list=!Administrator in-interface=bridge1-local log=no log-prefix=""

7 ;;;
chain=input action=drop in-interface=WAN log=no log-prefix=""

Оно ведь?


Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Сегодня каспера прям прет! Надеюсь поможете разобраться как это победить. Пока не понял
Изображение

Раньше не замечал но вот порт 1500 чаще всего долбит


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Я что-то не понял одного. Если Вы используете роутер, значит Вы за натом, а значит никакая атака не доберётся до компа, если конечно конкретно атакуемый порт не проброшен.
Значит Вы пробросили эти порты специально. Вспоминайте, - зачем?
Вариант два, у Вас на компе уже находиться какой-то паразит, который через UPnP открывает эти порты, в таком случае такие порты будут с пометкой 'D' в "IP->Firewall->NAT".


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Dragon_Knight писал(а):Я что-то не понял одного. Если Вы используете роутер, значит Вы за натом, а значит никакая атака не доберётся до компа, если конечно конкретно атакуемый порт не проброшен.
Значит Вы пробросили эти порты специально. Вспоминайте, - зачем?
Вариант два, у Вас на компе уже находиться какой-то паразит, который через UPnP открывает эти порты, в таком случае такие порты будут с пометкой 'D' в "IP->Firewall->NAT".


Ну про провайдерский НАТ я может Вас немного запутал - это не основной вопрос. Да я за натом, на своем роутере настраивал НАТ по инструкции. Ни какие порты я ни куда не пробрасывал и ни чего лишнего не открывал. Посмотрите на мои правила выше. Вирусня исключается, проверял!

Если дать пояснение по своим правилам на Роутере то:
0) Заблокировать все invalid соединения на роутер
1) Заблокировать все invalid соединения в мою сеть (forward)
2) Разрешить все успешно установленные соединения на роутер
3) Разрешить все успешно установленные соединения в мою сеть (forward)
4) Разрешить все родственные соединения на роутер
5) Разрешить все родственные соединения в мою сеть (forward)
6) Запретить пинг всем кроме админа роутера
и завершающее правило
7) Запретить все остальное, что явно не разрешено.

Может чего не правильно?


vkrum
Сообщения: 86
Зарегистрирован: 10 ноя 2012, 00:23

может вирус в домашней сети?


Ответить