log router e domande

[aasmdaa]

Ho visto il log del mio router ed ho trovato queste cose:

12/07/2005 00:59:32 **SYN Flood to Host** 192.168.0.110, 2052->> 151.1.141.96, 80 (from ATM Outbound)

12/07/2005 00:11:53 **UDP flood** 201.248.241.216, 4672->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 23:38:38 **ICMP Redirect** 84.121.9.247->> 81.75.228.161, Type:5, Code:1 (from ATM Inbound)

12/06/2005 23:37:12 **Smurf** 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 16:30:24 **Smurf** 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 10:07:03 **LAND** 81.75.228.161, 80->> 81.75.228.161, 2429 (from ATM Inbound)

Mi devo preoccupare? (per l'ultimo non credo visto che ho un server web interno) però gli altri ho cercato su internet ma non capisco se sono cose normali o meno...

[billiejoex]

Il primo pare essere un attacco flood che parte dall'interno.
Prova a dare una controllata alla macchina 192.168.0.110.

Il 2°, 4° e 5° sembrano essere floods indirizzati a una macchina all'interno raggiunta tramite NATting applicato sul gateway. Sei tu ad averlo applicato?

Il 3° pare essere un normale pacchetto ICMP utilizzato a fini di routing. http://www.networksorcery.com/enp/pr.../icmp/msg5.htm

L'ultimo è un pacchetto LAND che non rappresenta particolari pericoli in quanto come tipo di attacco è deprecato da anni.


Logs del genere sono abbastanza normali, comunque. Il più delle volte non rappresentano particolari sintomi di pericolo.

[aasmdaa]

Sì su quello ci sono le porte aperte per l'utilizzo di Emule...è pericoloso?

[billiejoex]

Non direi. Ovvio che il numero di porte aperte in entrata è direttamente proporzionale alle possibilità di rischio. Abbi cura di utilizzare sempre l'ultima versione dei software in ogni caso, nello specifico: Emule.