Bienvenido(a), Visitante. Por favor, ingresa o regístrate.
25-04-2017, 16:40 (Martes)
Inicio Ayuda Reglas Buscar Ingresar Registrarse
Noticias:
Liberada wifislax64-1.0 version final para descargar



+  Seguridad Wireless - Wifi
|-+  Equipos y materiales
| |-+  Puntos de acceso, routers, switchs y bridges
| | |-+  Openwrt (Moderadores: jar229, Noltari, Pteridium, Tki2000)
| | | |-+  Recibo ataques desde múltiples IPs. Discusión de ideas.
0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: 1 [2] Ir Abajo Imprimir
Autor Tema: Recibo ataques desde múltiples IPs. Discusión de ideas.  (Leído 1049 veces)
Tki2000
Moderador
*
Desconectado Desconectado

Mensajes: 1625


Ver Perfil
« Respuesta #20 : 15-04-2017, 00:15 (S?bado) »

Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Sí, eso ha pasado siempre, pero lo que ahora me escama es, ¿por qué siempre me encuentran aunque cambie de IP y de puertos?
Me da que pensar también que lo que hay comprometido son los enrutadores de las ISP, ya que entonces dará igual la IP que me den, se están enchufando directamente al enrutador que me da esa IP, y así no hay forma de escapar. ¿Sigo estando paranoico?  Grin

Te encuentran tan fácilmente porque hay miles y miles de dispositivos comprometidos, que se dedican a probar todo el rango de direcciones IP posibles durante las 24 horas del día. Si tienes 1.000 equipos comprometidos a tu disposición (y es un número ridículamente pequeño), y cada equipo prueba 100 direcciones IP por segundo (y también es un número conservador), en una hora has probado todo el rango de direcciones IP disponibles.

Hay que ser paranoico, en el sentido de que ya no se puede pensar (como se hacía antes) en que si no tienes nada interesante no van a ir a por ti; ahora hay que pensar que Internet es "territorio comanche", donde continuamente vas a recibir ataques, y que te van a venir de todas partes. Pero no hay que ser paranoico y pensar te están buscando a ti en especial, ni que te hayas significado de alguna manera; simplemente es que es es un "todos contra todos".

Lo de encontrarme así, sería fácil si tuviera habilitado el ping exterior, pero no lo tengo. Luego no prueban IPs, prueban puertos.
Cada IP aunque esté muda, tiene 65535 puertos. Después de cambiarle los puertos, por si acaso me están buscando por la disposición de ellos, y a pesar de no contestar externamente, me encuentran en minutos el puerto SSH (que yo vea). Me huele a ataque masivo en un rango de IPs concreto, que pueden estar localizadas dentro de algún enrutador comprometido, por eso no puedo escapar, porque físicamente estoy en el enrutador que maneja las IPs que me puedan dar, y por eso es más rápido, porque son un rango de IPs manejadas por algún dispositivo en concreto.
Una vez que ordeñan el listado de IPs del enrutador, se lo pasan a las máquinas de a pie, como dice Fitch, y realizan el ataque.

Es una suposición, pero es lo que más me cuadra.
Si fuera un ataque generalizado, lo estaríamos viendo todos, y no es así, aunque lo veamos unos cuantos, que seguramente estemos en el mismo camino comprometido.
En línea

No habrás entendido algo, hasta que seas capaz de explicárselo a tu abuela...
Hacemos pantallas con píxeles casi invisibles, para luego ampliar la letra porque no la vemos... Bonita paradoja...
Creamos analfabetos tecnológicos con una velocidad pasmosa. Todo el mundo "maneja" tecnología, casi nadie sabe lo que tiene entre las manos, pero todo el mundo opina.
drvalium
Moderador Global
*
Desconectado Desconectado

Mensajes: 17057


Misántropo


Ver Perfil
« Respuesta #21 : 15-04-2017, 00:49 (S?bado) »

¿que habrás hecho para que te persiga medio planeta? Grin
En línea
Tki2000
Moderador
*
Desconectado Desconectado

Mensajes: 1625


Ver Perfil
« Respuesta #22 : 15-04-2017, 01:06 (S?bado) »

¿que habrás hecho para que te persiga medio planeta? Grin

¡¡Chtssss!! No se lo cuentes a nadie...  Grin
En línea

No habrás entendido algo, hasta que seas capaz de explicárselo a tu abuela...
Hacemos pantallas con píxeles casi invisibles, para luego ampliar la letra porque no la vemos... Bonita paradoja...
Creamos analfabetos tecnológicos con una velocidad pasmosa. Todo el mundo "maneja" tecnología, casi nadie sabe lo que tiene entre las manos, pero todo el mundo opina.
sanson
Moderador Global
*
Desconectado Desconectado

Mensajes: 8347


Ver Perfil
« Respuesta #23 : 17-04-2017, 19:08 (Lunes) »

hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.


saludos
En línea

nextlvl
****
Desconectado Desconectado

Mensajes: 67



Ver Perfil
« Respuesta #24 : 17-04-2017, 23:22 (Lunes) »

hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.

saludos

Esto iba a poner, puede ser que tu ISP esté siendo atacado o tenga alguna máquina infectada. No es normal que cuando cambies la ip al poco tiempo vuelvan los ataques.

PD: tengo entendido que cambias la ip, y al momento ya te están atacando teniendo solo encendido el router y nada más.
En línea
Tki2000
Moderador
*
Desconectado Desconectado

Mensajes: 1625


Ver Perfil
« Respuesta #25 : 18-04-2017, 08:29 (Martes) »

Esa es la sospecha que tengo.
Todos los ataques me entran por 4 MACs distintas, que supongo serán los 4 enrutadores directos que tengo conectados al ADSL. No significa que sean esos los enrutadores comprometidos, pero el tráfico a nivel mundial me entra por esos 4 enrutadores. No he podido hacer más comprobaciones.

Estoy por llamar al ISP y pedirle explicaciones...

De momento ya he puesto un firewall intermedio y una VPN. Cambio de contraseñas, etc, etc..., pero el primer bastión que debe resistir es openwrt. Si aguanta, todo lo demás también...  Grin

Edito: Puede que no sea ni siquiera de mi ISP. Hay otra gente de otras compañías que también está viendo ataques. Sólo puedo decir que de por medio hay un enrutador de level3, compañía que hace ya un tiempo, tuvo algún que otro achaque a nivel mundial...
« Última modificación: 18-04-2017, 08:39 (Martes) por Tki2000 » En línea

No habrás entendido algo, hasta que seas capaz de explicárselo a tu abuela...
Hacemos pantallas con píxeles casi invisibles, para luego ampliar la letra porque no la vemos... Bonita paradoja...
Creamos analfabetos tecnológicos con una velocidad pasmosa. Todo el mundo "maneja" tecnología, casi nadie sabe lo que tiene entre las manos, pero todo el mundo opina.
Ficht
******
Desconectado Desconectado

Mensajes: 397



Ver Perfil
« Respuesta #26 : 18-04-2017, 20:57 (Martes) »

hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.

saludos
Esa es la sospecha que tengo.
Todos los ataques me entran por 4 MACs distintas, que supongo serán los 4 enrutadores directos que tengo conectados al ADSL. No significa que sean esos los enrutadores comprometidos, pero el tráfico a nivel mundial me entra por esos 4 enrutadores. No he podido hacer más comprobaciones.

Estoy por llamar al ISP y pedirle explicaciones...

De momento ya he puesto un firewall intermedio y una VPN. Cambio de contraseñas, etc, etc..., pero el primer bastión que debe resistir es openwrt. Si aguanta, todo lo demás también...  Grin

Edito: Puede que no sea ni siquiera de mi ISP. Hay otra gente de otras compañías que también está viendo ataques. Sólo puedo decir que de por medio hay un enrutador de level3, compañía que hace ya un tiempo, tuvo algún que otro achaque a nivel mundial...


Esto iba a poner, puede ser que tu ISP esté siendo atacado o tenga alguna máquina infectada. No es normal que cuando cambies la ip al poco tiempo vuelvan los ataques.

PD: tengo entendido que cambias la ip, y al momento ya te están atacando teniendo solo encendido el router y nada más.

Yo tengo dos ISP distintos, y veo los ataques por igual, si bien en uno, la Ip no cambia casi nunca (en los últimos 4 años ha cambiado 2 veces ...) en el otro, si que cambia frecuentemente, incluso 1 o 2 veces en un  día, pero lo mismo, en pocos minutos, comienzan los ataques.

Siempre teniendo en cuenta, que nunca hay mas servicios operativos  en la red que los routers en si, y sin hacer estos conexiones por si solos, es decir, solo responden a las llamadas mías de control. Hasta donde he visto, nunca han hecho log->in, si que he visto mensajes de wget... en el registro, pero con salida error, osea, parece que el router aguanta, pero, los ataques, si que le hacen trabajar.

También pienso en la probabilidad de que provengan del servicio ddns, es decir, mi proveedor de ddns, que sean ellos los que de un modo u otro reenvíen o propicien estas llamadas de maquinas, ya que es lo que coordina la dirección IP y en dominio web...
En línea
Tki2000
Moderador
*
Desconectado Desconectado

Mensajes: 1625


Ver Perfil
« Respuesta #27 : 18-04-2017, 21:33 (Martes) »

hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.

saludos
Esa es la sospecha que tengo.
Todos los ataques me entran por 4 MACs distintas, que supongo serán los 4 enrutadores directos que tengo conectados al ADSL. No significa que sean esos los enrutadores comprometidos, pero el tráfico a nivel mundial me entra por esos 4 enrutadores. No he podido hacer más comprobaciones.

Estoy por llamar al ISP y pedirle explicaciones...

De momento ya he puesto un firewall intermedio y una VPN. Cambio de contraseñas, etc, etc..., pero el primer bastión que debe resistir es openwrt. Si aguanta, todo lo demás también...  Grin

Edito: Puede que no sea ni siquiera de mi ISP. Hay otra gente de otras compañías que también está viendo ataques. Sólo puedo decir que de por medio hay un enrutador de level3, compañía que hace ya un tiempo, tuvo algún que otro achaque a nivel mundial...


Esto iba a poner, puede ser que tu ISP esté siendo atacado o tenga alguna máquina infectada. No es normal que cuando cambies la ip al poco tiempo vuelvan los ataques.

PD: tengo entendido que cambias la ip, y al momento ya te están atacando teniendo solo encendido el router y nada más.

Yo tengo dos ISP distintos, y veo los ataques por igual, si bien en uno, la Ip no cambia casi nunca (en los últimos 4 años ha cambiado 2 veces ...) en el otro, si que cambia frecuentemente, incluso 1 o 2 veces en un  día, pero lo mismo, en pocos minutos, comienzan los ataques.

Siempre teniendo en cuenta, que nunca hay mas servicios operativos  en la red que los routers en si, y sin hacer estos conexiones por si solos, es decir, solo responden a las llamadas mías de control. Hasta donde he visto, nunca han hecho log->in, si que he visto mensajes de wget... en el registro, pero con salida error, osea, parece que el router aguanta, pero, los ataques, si que le hacen trabajar.

También pienso en la probabilidad de que provengan del servicio ddns, es decir, mi proveedor de ddns, que sean ellos los que de un modo u otro reenvíen o propicien estas llamadas de maquinas, ya que es lo que coordina la dirección IP y en dominio web...

Yo paré el servicio de ddns (changeip.com) y cambié la IP, y me seguían encontrando y atacando igual, así que lo descarté.
En línea

No habrás entendido algo, hasta que seas capaz de explicárselo a tu abuela...
Hacemos pantallas con píxeles casi invisibles, para luego ampliar la letra porque no la vemos... Bonita paradoja...
Creamos analfabetos tecnológicos con una velocidad pasmosa. Todo el mundo "maneja" tecnología, casi nadie sabe lo que tiene entre las manos, pero todo el mundo opina.
Páginas: 1 [2] Ir Arriba Imprimir 
« anterior próximo »
Ir a:  


Ingresar con nombre de usuario, contraseña y duración de la sesión

Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines
SMFAds for Free Forums