我的路由器活动日志中有以下几行:
Intrusion _> IN=ppp0.1 OUT= SRC=94.139.999.999 DST= Masked.xxx.xxx.xx9 PROTO=TCP SPT=49454 DPT=85
每秒都会有新的日志。每次数字都会有一点变化。
到底是怎么回事?
答案1
您不必太担心该消息。
它只是说,有人指定了源 IP尝试过如果这是完整的消息,则进入您的路由器。如果消息还包含端口,则源 IP 很可能只是扫描了您的网络以查找开放端口。
这种消息在任何防火墙中都很常见,有整个僵尸网络专门扫描你的端口并尝试使用默认用户名/密码进入你的路由器。才不是意味着有人确实进入了你的路由器。
确保你已经更改了密码,并且为了确保万无一失,你可以随后重启路由器。如果你不应该有停机时间,那就没问题了。
关于此内容的类似帖子:
@superuser.com - 我的路由器上的内核入侵是什么?
我的路由器内核入侵
一般来说,这是“互联网的邪恶力量正在敲你的门”。除非你打开那扇门,否则一切都会好起来。
答案2
在不知道路由器具体供应商/型号的情况下,我认为您的路由器检测到了入侵尝试并记录了该情况。无需担心。
如果你感兴趣的话,以下行中的条目会透露更多细节:
IN:使用的接口,ppp0.1这里可能指的是通向您的 ISP 的 WAN 端口。OUT:传出接口,由于没有任何内容可传递/发送,因此未设置。SRC:有问题的连接的源 IP。DST:有问题的连接的目标 IP(应该是您的路由器的 WAN IP)。PROTO:使用的协议,这里是TCP/IP。SPT:有问题的连接的源端口(通常没有任何意义,因为它是由系统根据未使用的端口自动分配的)。DPT:目标端口,即您尝试连接的端口。
端口 85 通常由“ML MIT 设备”使用(实际上,不知道那是什么:)),但它也被特洛伊木马使用。
那么这里发生了什么?确实没什么不寻常的。结合其他日志条目(通常应包括不同的条目DPT,也可能不同SRC),这通常实际上只是所谓的端口扫描。其他一些计算机(或计算机网络)正在寻找开放端口,即接受连接的端口。这些可能表明存在漏洞攻击面等。
你应该担心吗?不,显然不是。您的路由器识别了尝试的端口扫描(这被视为潜在的入侵尝试;因此记录了日志条目),因此可能自动拒绝了来自这些端口的所有进一步传入连接,即使它们是开放的。仔细检查您是否转发了任何端口(除非您向公众提供特定的服务器/服务,否则您不应该转发)。值得一提的是,太多的游戏支持网站和部门告诉他们的玩家“转发端口”,即使它们仅用于传出方向,转发只会增加攻击面而没有任何好处。