security log (zyxel router)

  • 25 January 2024
  • 5 reacties
  • 126 Bekeken

In mijn Odido zyxel-router heb ik ongeveer 10 security logs/sec, zoals hieronder. Is dit iets waar ik rekening mee moet houden? xx.xx.xx.xx is my IP address


 

  Jan 25 16:54:51 kern alert attack kernel: [1708211.985025] UDP PORT SCAN ATTACK:IN=eth1.3 OUT= MAC=f8:0d:a9:0e:6f:81:00:0e:00:00:00:01:08:00 SRC=104.152.52.158 DST=xx.xx.xx.xx LEN=28 TOS=0x00 PREC=0x00 TTL=241 ID=8752 PROTO=UDP SPT=58013 DPT=49156 LEN=8
2 Jan 25 16:53:50 kern alert attack kernel: [1708150.587452] UDP PORT SCAN ATTACK:IN=eth1.3 OUT= MAC=f8:0d:a9:0e:6f:81:00:0e:00:00:00:01:08:00 SRC=104.152.52.158 DST=xx.xx.xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=46794 PROTO=UDP SPT=58013 DPT=7 LEN=20
10 Jan 25 03:52:11 kern alert attack kernel: [1661301.248650] PING OF DEATH ATTACK:IN=eth1.3 OUT= MAC=f8:0d:a9:0e:6f:81:00:0e:00:00:00:01:08:00 SRC=23.92.31.220 DST=xx.xx.xx.xx LEN=34 TOS=0x00 PREC=0x00 TTL=18 ID=22377 PROTO=ICMP TYPE=8 CODE=0 ID=22377 SEQ=30


 

Teresa van Odido 4 maanden geleden

Allereerst van harte welkom op onze Community! 😀 @yolkhovyy 

Nu moet ik eerlijk toegeven dat ik hier zelf het antwoord niet op weet, maar je bent naar de juiste plek gekomen. Ik weet zeker dat je je antwoord hier zult vinden! @eric of @TMTV Moet hier rekening mee worden gehouden?

Bekijk origineel

5 reacties

Reputatie 7
Badge +2

Allereerst van harte welkom op onze Community! 😀 @yolkhovyy 

Nu moet ik eerlijk toegeven dat ik hier zelf het antwoord niet op weet, maar je bent naar de juiste plek gekomen. Ik weet zeker dat je je antwoord hier zult vinden! @eric of @TMTV Moet hier rekening mee worden gehouden?

Reputatie 4
Badge

Portscans zijn tegenwoordig ‘fact of life’ voor iedereen die aan internet hangt.
Niet te voorkomen, en, als de router up to date is, niets om je zorgen over te maken.
De meeste routers melden (of detecteren!) het niet eens.

Men probeert gewoon alle deuren die ze kunnen vinden te openen door aan te kloppen.

Zloang de sloten in orde zijn is er niets aan de hand

Reputatie 7
Badge +14

Hoi @yolkhovyy ,

Heel goed dat deze router dit detecteert en dus ook blokkeert. Ik heb een NAS met een portforwarding bereikbaar van internet,  op die poorten komen ook vaak login attempts binnen. Ook hier heb ik een extra firewall en IP Block op draaien als er een verkeerde login is.

Dus geen zorgen, maar wel aandacht voor beveiliging in het algemeen houden.

Hartelijk dank allemaal - voor jullie snelle en duidelijke reacties!

Ja, ik heb in het verleden gezien dat ze soms obfuscated ssh-poortnummers konden vinden en probeerden in te loggen op ssh op het interne netwerk.

Kan zyxel EX5601-T1 dat voorkomen?

Reputatie 4
Badge

Hartelijk dank allemaal - voor jullie snelle en duidelijke reacties!

Ja, ik heb in het verleden gezien dat ze soms obfuscated ssh-poortnummers konden vinden en probeerden in te loggen op ssh op het interne netwerk.

Kan zyxel EX5601-T1 dat voorkomen?

Helaas, de Zyxel zal geen legitiem verkeer van hackers kunnen onderscheiden. Beiden proberen op dezelfde manier verbinding te maken.

Ze kunnen alleen op een interne ssh proberen in te loggen als je zelf een portforward naar de interne server gedaan hebt. Een ander poortnummer dan 22 gebruiken helpt wel iets, maar een portscan prikt daar doorheen.

Als de interne server Linux of FreeBSD draait, kun je daar fail2ban op installeren. Die kan herhaalde pogingen vanaf hetzelfde ip-adres blokkeren, maar tegen botnets die voor iedere poging een ander bronadres gebruiken helpt zelfs dat niet.

Reageer