Modeme saldırı

Bugünlerde internet bağlantımda sorunlar yaşıyorum. Bir de aşağıdaki gibi modemin güvenlik logunda kayıtlar görünüyor. Geçen bağlantı kesildiğinde loga baktığımda saldırı olduğunu gördüm. Yani saldırı olduğunda internet bağlantısı etkileniyor. Bunu türknete bildirdim hiç dikkate almadılar. 191 kayıt görebilirsiniz.

1Feb 17 21:52:56kernalertattackkernel: PING OF DEATH ATTACK:IN=ppp2 OUT= MAC= SRC=18.162.232.168 DST=188.119.53.86 LEN=92 TOS=0x00 PREC=0x00 TTL=237 ID=14283 DF PROTO=ICMP TYPE=8 CODE=0 ID=2130 SEQ=9

2Feb 17 21:52:56kernalertattackkernel: PING OF DEATH ATTACK:IN=ppp2 OUT= MAC= SRC=119.28.250.108 DST=188.119.53.86 LEN=92 TOS=0x00 PREC=0x00 TTL=49 ID=34039 DF PROTO=ICMP TYPE=8 CODE=0 ID=13494 SEQ=9

Firewall False positive loglamis

Bu paketler sizin ev aginizdan disariya giden siradan paketler.

PUBG yada Riot games oyunlarindan birini oynuyorsunuz galiba.

Bunlar sizin bilgisayarınızdan internete giden paketler . Bilgisayarınıza virüs bulaşmış olabilir ip adresi baidu ya ait gibi gözüküyor . Bilgisayarınız baidu ya saldırıyor olabilir.

Bilgisayarınız zombi bilgisayar diye tabir edilen virüslü bir bilgisayar.Size gelen paket yok.Aksine siz paket gönderiyorsunuz.IP adresleri çin kaynaklı adresler.

Bilgisayarınız DDOS saldırıları için kullanılıyor olabilir.Kontrol etmenizde yarar var.Muhtemelen kürekli bir uygulama kullanıyorsunuz.

İlk ekran görüntüsündeki 180.76.76.76 ve 114.114.114.114 IP'leri, Çin'de bulunan 2 tane DNS sunucusuna ait. Muhtemelen kullandığın bir program ya da oyun bu sunucuları kullanıyor. Google DNS mantığında çalışıyor, bir zararı yok. Bilgisayarından public-dns-a.baidu.com ve public1.114dns.com adreslerine ping atarsan bu IP'leri görebilirsin. 103.145.13.59 IP'si ise, internet üzerindeki birçok IP aralıklarına port taraması yapan Hollanda'daki bir sunucuya ait. Sana özel bir durum yok, endişelenmene gerek yok. Ayrıntılı bilgi için şu linke bakabilirsin: https://www.abuseipdb.com/check/103.145.13.59

İkinci ekran görüntüsündeki tüm IP'lere baktım. Çoğu Çin kaynaklı sunucular ancak ayrıntılı bir bilgi bulamadım. Muhtemelen yine kullandığın program ya da oyundan kaynaklı olabilir. Güney Kore'de bir forum sitesinde, senin gibi loglardan bu IP'leri görüp konu açan birisini buldum. Tüm IP'ler aynı olmasa da bir kısmı aynı. Google Translate kullanarak bakabilirsin: https://translate.google.com/translate?sl=auto&tl=en&u=https://www.phpschool.com/gnuboard4/bbs/board.php?bo_table%3Dqna_install%26wr_id%3D123338

Bilgisayarında hangi programları kullanıyorsun? Modeme başka hangi cihazlar bağlı? Güvenlik kamerası varsa, Çin kaynaklı sunuculara bağlantı kuruyor olabilir.

Modemin loglarına bakarak bir tahminde bulunabilirsiniz.Loglara baktığınızda ve herhangi bir uygulama, oyun vb. şeyleri açmadığınız halde bağlantınızda konu sahibindeki gibi giden paketler varsa şüphelenebilirsiniz.Bundan emin olmak için loglarda uzun bir gözlemleme yapmak gerekir.çeşitli toollarla da kontrol edilebilir fakat anlatımı uzun olduğu için araştırmanız gerekiyor.

Bilgisayarımda oyun yüklü değil, bilinmeyen bir uygulama da kullanmıyorum. Virüs programı da sürekli aktif. Güncel lisanslı windows 10 kullanıyorum.

İş bilgisayarı. Ağa kamera veya farklı bir cihaz bağlı değil. Sadece bilgisayarlar ve telefonlar. Bu dedikleriniz nasıl olabilir.

Loglarda sadece 1 yerel ip görünüyor. 192.168.1.100 o da cep telefonunun çıktı sürekli ağa bağlanan biri değil o anlık bağlandı sadece.

SRC kısmında hep dış ip görünüyor. DST benim ip.

Zombi olmus bir aygit var networkunuzde...

DoS yapiyorlar sizin uzerinizden.

Wireshark`i router uzerinde calistirip bulabilirsiniz kolaylikla hangi aygit oldugunu, tabi router`da tcpdump calisir mi, tabi ki calisir. Biraz ugrasirsiniz ama.