個人積分:52分
文章編號:69142776
個人積分:287分
文章編號:69151017
從昨晚10點多到今早7點
router的log記錄如下:
[DHCP IP: (192.168.1.7)] to MAC address xx:xx:xx:xx:xx:xx, Monday, Jul 02,2018 00:07:04
[DHCP IP: (192.168.1.10)] to MAC address xx:xx:xx:xx:xx:xx, Sunday, Jul 01,2018 22:30:42
[Log Cleared] Sunday, Jul 01,2018 22:26:49
看來駭客應該對我的設備沒興趣了
其實在NAS日誌裡面就可以看到當時iPad login失敗的紀錄
我的NAS早在2015年開始就陸續有境外的IP嘗試登入但最後失敗被封鎖
截至目前為止共有37個IP被NAS自動封鎖
198.204.239.226
219.153.51.47
222.186.31.162
115.231.218.126
115.231.218.135
203.175.162.96
222.234.2.69
141.105.70.96
178.19.104.138
188.138.9.50
71.6.167.142
141.105.70.39
71.6.165.200
85.25.103.50
85.214.23.190
220.128.59.248
190.27.239.4
164.138.105.150
159.203.80.47
31.3.244.146
203.174.10.141
202.153.39.52
31.3.243.226
201.163.79.42
203.113.118.157
190.202.85.203
114.35.105.183
27.251.65.195
125.63.92.58
141.105.71.207
113.28.114.210
74.200.74.179
141.105.64.161
142.252.250.99
36.233.57.240
195.154.182.63
203.45.226.58
這種境外IP嘗試登入失敗遭NAS封鎖我早見怪不怪
但這次卻是透過我內網的設備去做登入
嚴重的程度當然就跟上面一般境外IP來的嚴重
因為表示駭客已經突破我的router了
個人積分:194分
文章編號:69157128
個人積分:359分
文章編號:69158725
個人積分:66分
文章編號:69159240
個人積分:381分
文章編號:69162597
先說這個:
[DoS attack: FIN Scan] attack packets in last 20 sec from ip [23.53.74.182], Thursday, Jun 28,2018 00:25:43
這是你家裝置上的瀏覽器和某伺服器結束通訊時的結束封包, 被低階入侵偵測系統誤認為攻擊封包.
證據是Akamai伺服器不會主動來連你的客戶端. 另一個可能是府上有架站, 並且有用 Akamai 服務,
如此你會看到來自 Akamai edge server 的攻擊封包, 但這個可能性可以排除.
另外這絕非 DoS attack.
[WLAN access rejected: incorrect security] from MAC 68:48:98:9D:D1:DC, Friday, Jun 29,2018 21:38:06
這個是在你家附近的人嚐試連上WiFi網路被拒絕, 並非入侵成功的證明.
最後 ipad 存取NAS失敗的紀錄, 也許只是密碼更換或連線中斷時留下的痕跡, 被人入侵導致的可能性非常彽 (基於 Occam's razor).
個人積分:287分
文章編號:69163538
ironman077 wrote:
樓主想太多了, 你看...(恕刪)
我前面已經說過了
如果只是單一種現象發生我不會判斷成是駭客入侵事件
但當短時間內發生多筆異常
包含我電腦對外伺服器連線變慢的現象
例如遊戲爐石戰記跟Hinet信箱等
更不用說這些軟體連的外部的伺服器跟Akamai CDN一點關係也沒有
這不能以巧合來解釋
如果每個人的想法都跟你一樣
那台灣的資安意識就太薄弱了
CDN的其中一個好處就是可以隱藏自己的IP
很適合當做駭客的跳板
DoS attack部分
我沒有架設網站
也沒有對外提供服務
更不可能在三經半夜使用瀏覽器
DoS event發生時人在睡覺
晚上睡覺前除了iPhone and iPad
其餘設備都是關機狀態
你說的部分完全不成立
WLAN的部分
怎麼可能那麼巧
DoS跟WLAN在同時段發生
而且從紀錄來看
6/29晚上9點多連線失敗
6/30凌晨5點多又嘗試兩次?
我是不相信是巧合
iPad部分
你的說法太牽強
更換密碼或是連線中斷
這跟NAS反應iPad嘗試登入時輸入密碼錯誤達三次有什麼關係?
更何況當時的確沒有人使用iPad
而且從NAS的log來看
當時是透過WebDAV(port 5005)嘗試連線的
前陣子我才去參加吉康科技舉辦的資安研討會
對駭客入侵的方式有所認知
我不認為這些都是我想太多
科技不斷的在更新
駭客也不斷的在提升入侵方式
國家政府意識到資安的重要性
把資安列為國安層級
目前正在擬定相關的法條
未來政府機關等部門及企業都要遵守
國人的資安意識應當要同步提升才是
任何可疑的線索都不能放過
個人積分:2943分
文章編號:69167973
個人積分:287分
文章編號:69168077
個人積分:381分
文章編號:69169418
lasthero wrote:
我前面已經說過了如...(恕刪)
你不懂 CDN 運作原理. 駭客可以利用 CDN 隱形完全是錯誤的理解.
(keyword: X-Forwarded-for)
你也不知道 Blizzard 的 CDN 業者正是Akamai
https://us.battle.net/forums/en/wow/topic/16202231006
你看到的 "DoS attack" 幾乎可以 100% 確定是府上電腦連線造成的誤判.
由於網路不順, 造成 packet retransmit or duplicated packet,
導致系統誤判為攻擊, 實務上出現的次數太多了.
順便提一下, 二十年前我就開課教人如何從 firewall logs 過濾 FPs (False Positive)了.
有些案例和你的 log 非常類似.
