lirqdsda писал(а):
В логах постоянно появляется записи следующего вида:
Цитата:
Jan 2 02:54:58 user alert kernel: Intrusion -> IN=ppp_0_35_1 OUT= MAC= SRC=195.8.36.202 DST=78.36.0.193 LEN=64 TOS=0x00 PREC=0x00 TTL=49 ID=1360 DF PROTO=TCP SPT=32771 DPT=5010 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 2 02:55:02 user alert kernel: Intrusion -> IN=ppp_0_35_1 OUT= MAC= SRC=195.8.36.202 DST=78.36.0.193 LEN=48 TOS=0x00 PREC=0x00 TTL=49 ID=17093 DF PROTO=TCP SPT=32771 DPT=5010 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 2 02:55:10 user alert kernel: Intrusion -> IN=ppp_0_35_1 OUT= MAC= SRC=195.8.36.202 DST=78.36.0.193 LEN=48 TOS=0x00 PREC=0x00 TTL=49 ID=31104 DF PROTO=TCP SPT=32771 DPT=5010 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 2 02:55:12 user alert kernel: Intrusion -> IN=ppp_0_35_1 OUT= MAC= SRC=84.204.136.33 DST=78.36.0.193 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=52713 DF PROTO=TCP SPT=39818 DPT=30222 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 2 02:55:15 user alert kernel: Intrusion -> IN=ppp_0_35_1 OUT= MAC= SRC=95.161.1.117 DST=78.36.0.193 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=34508 DF PROTO=TCP SPT=4992 DPT=30222 WINDOW=65535 RES=0x00 SYN URGP=0
Что это значит?
Из сети провайдера на WAN-интерфейс роутера приходят многочисленные SYN-запросы. Когда их количество становится слишком большим, роутер начинает просто блокироваить их. При этом в логе появляются такие строки.
SRC=95.161.1.117 - это адрес источника, откуда пришёл запрос на соединение
DPT=30222 - это порт назначения, на который пришёл запрос на соединение
Большое количество SYN в сети может быть вызвано вирусной активностью абонентов/сканированием портов.
Вход
Регистрация
FAQ
Поиск
