• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Вопрос Dos and nmap everyday


0b170xor

Уважаемый пользователь
Форумчанин
Регистрация
13.01.2020
Сообщения
70
Репутация
27
Сидел мирно тихо пока на почту не посыпались письма от роутеров о Dos атаках роутеров на работе.
Просматривая логи кто же досил я был ошарашен.

Первое что я заметил когда пользователь wifi сети с маком 74:04:2b:83:21:ff подключается к сети и когда ему DHCP присваивает ип, обязательно происходит очень хороший спам в веб-морду 80 порта. Судя по логам это происходит ежедневно.
IP который пытается зайти в админку всегда статический 140.249.60.201.
Поскольку я знаю мак устройства я решил поинтересоваться у кого из коллег есть Lenovo девайс, он быстро нашелся но это был обычный смартфон со стоковой прошивкой от производителя. Хозяин телефона вообще не разбирается в этих ИТ-дрючках.
Так что вопрос неужели производитель сделал заначку чтобы брутить роутеры, вопрос зачем это им?

Второе что я заметил что кто-то спамит и перебирает порты на открытость, это напоминает использование nmap. Я знаю что такое было, но он проверял локальный девайс и у нас другой провайдер. Я понимаю что наши не отстают в Digital identity и цифровой отпечаток можно продать любой крупной организации для белого анти-фрода или черной слежки.
С других смартфонов была проверка портов, а именно с мака Samsung 00:00:F0:70:B9:24 всегда был статический ип 77.88.55.50. Что странно этот адрес принадлежит Яндексу. Оказалось при запуске приложения Яндекс.Ключ он проверяет порты на открытость. Хозяин пользовался приложением для входа в почту.

Я посмотрел все адреса с которых производили сканы и бруты и оказывается таких случаев много, а именно мобильные приложения. Список не весь предоставляю.

31.13.78.52 (instagram-p3-shv-01-sit4.fbcdn.net) сканил порты
64.233.162.94 (li-in-f94.1e100.net) брутил админку
173.194.163.106 сканил порты
87.240.185.136 (srv136-185-240-87.vk.com) сканил порты
31.13.72.48 (whatsapp-chatd-edge-shv-01-arn2.facebook.com) этот вообще долбился почему-то в 5222 порт который закрытый
5.255.255.55 в админку лез

Вопрос сильно ли я испорчу работу с многими сервисами если заблокирую нахрен все адреса, которые производят "атаки-сканы"? Из-за частоты этих сканов вся почта заполнена и лишняя нагрузка на роутер.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
Думаю на работу сервисов это не повлияет, главное не забанить айпи сайтов и нужные для работы сервисов.

Судя по тому-что написано, это можно банить.

Странно конечно, незнал про такое.)
 
Верх Низ