Вопрос или проблема
Мой IP компьютера: 192.168.1.69
Почему в журнале файрвола моего компьютера IP-адрес источника отличается от отправленных пакетов? И стоит ли мне беспокоиться? В конце концов, мой роутер получает много случайных атак DoS. (Пример некоторых из них ниже).
Журнал файрвола Windows 10
2025-01-15 22:00:13 ALLOW UDP 100.99.12.139 103.86.96.96 62695 53 0 - - - - - - - SEND
2025-01-15 22:00:21 ALLOW TCP 192.168.1.69 52.113.194.132 49588 443 0 - 0 0 0 - - - SEND
2025-01-15 22:00:38 ALLOW UDP 100.99.12.139 103.86.99.99 53701 53 0 - - - - - - - SEND
2025-01-15 22:00:38 ALLOW UDP 192.168.1.69 216.129.224.1 63198 53 0 - - - - - - - SEND
** Некоторые записи DoS из журнала моего роутера **
[DoS attack: ACK Scan] from source: 12.208.172.3:45842 Среда, 15 января 2025 20:21:39
[DoS attack: ACK Scan] from source: 68.112.189.10:50286 Среда, 15 января 2025 19:39:34
[site allowed: c.pki.goog] from source 192.168.1.69 Среда, 15 января 2025 19:37:17
[site allowed: x1.c.lencr.org] from source 192.168.1.69 Среда, 15 января 2025 19:37:17
[site allowed: ctldl.windowsupdate.com] from source 192.168.1.69 Среда, 15 января 2025 19:37:17
[UPnP set event:AddPortMapping] from source 192.168.1.70 Среда, 15 января 2025 19:20:40
[site allowed: static.vseetvbox.com] from source 192.168.1.70 Среда, 15 января 2025 19:20:31
[DoS attack: ACK Scan] from source: 80.75.221.38:7777 Среда, 15 января 2025 18:54:05
[DoS attack: ACK Scan] from source: 62.60.227.26:80 Среда, 15 января 2025 18:39:06
[site allowed: c.pki.goog] from source 192.168.1.69 Среда, 15 января 2025 18:36:25
Почему в журнале файрвола моего компьютера IP-адрес источника отличается от отправленных пакетов?
Похоже, что на вашем компьютере больше одного IP-адреса. Адрес 192.168.1.69 принадлежит вашему физическому интерфейсу Wi-Fi или Ethernet, тогда как адрес 100.99.12.139 вероятно принадлежит виртуальному интерфейсу VPN (например, Tailscale) – VPN не являются основным предназначением диапазона CGNAT 100.64/10, но это тем не менее распространенное использование.
Сравните адреса с теми, что показываются командой ipconfig. Если вы нигде не находите совпадений, тогда можно сказать, что это несколько странно. Вы можете установить Wireshark (или другую программу для захвата сетевых пакетов) и фактически посмотреть, что ваш компьютер отправляет.
мой роутер получает много случайных атак DoS
Это не так. Прошивка роутера излишне параноидальна относительно того, что она называет DoS. Даже если предположить, что метка “ACK Scan” верна, обычное сканирование портов далеко не является DoS-атакой (и такие методы как раз-таки должны быть труднозамечаемыми, что является буквально противоположностью атаки “отказ в обслуживании”).
По схожим причинам некоторые из этих методов могут быть трудно обнаруживаемы надежно. В вашем случае роутеру трудно определить разницу между “пакетом ACK сканирования портов” и “обычным пакетом ACK, который принадлежит соединению, о котором роутер не знает”.
Например, если TCP-соединение было неактивным настолько долго, что роутер решил ‘забыть’ о нем (в некоторых домашних роутерах файрволы настроены на очень короткие таймауты отслеживания состояния), и сервер вдруг отправляет вам данные, роутер теперь будет считать это недействительным пакетом – и в вашем случае, вероятно, предполагает, что это атака.
.
Ответ или решение
Ваш запрос о странных записях IP-адресов в логах брендмауэра Windows 10 и возможной угрозе безопасности вызывает ряд важных вопросов. Рассмотрим их по порядку, следуя методологии TEA (Теория, Пример, Применение).
Теория
При работе с сетевыми подключениями, ваш компьютер может использовать несколько IP-адресов одновременно. Например, один IP-адрес может быть назначен физическому интерфейсу (как Ethernet или Wi-Fi), а другой может быть связан с виртуальным интерфейсом от VPN-сервиса. Такое распределение IP-адресов обуславливается необходимостью организации разных маршрутов трафика, что вполне типично при работе с VPN.
Если IP-адрес из диапазона 100.64.0.0/10, данный диапазон обычно зарезервирован для Carrier-Grade NAT (CGNAT), но также часто используется VPN-сервисами. Таким образом, наличие такого IP-адреса не является признаком проблемы или угрозы безопасности.
Пример
Из вашего лога видно, что пакеты исходят как с вашего локального IP-адреса 192.168.1.69, так и с IP-адреса 100.99.12.139. Это говорит о том, что у вашего компьютера может быть активен второй виртуальный интерфейс, например, от VPN-сервиса. Для проверки этой гипотезы можно использовать команду в Windows, ipconfig, которая покажет все активные сетевые интерфейсы и их IP-адреса.
Также следует обратить внимание на логи вашего роутера, которые показывают "DoS атаки." На практике, большинство таких уведомлений являются ложными срабатываниями. Ваш роутер скорее всего распознает определенные типы трафика как потенциальные угрозы из предосторожности, даже если они таковыми не являются. Например, так называемые "ACK Scans" могут быть обычными ACK-пакетами от состояний подключения, которые роутер не отследил из-за коротких таймаутов.
Применение
Для устранения сомнений, проведите следующие действий:
-
Проверка сетевых интерфейсов: Используйте команду
ipconfigдля полного выяснения активных IP на вашем устройстве. Это поможет понять, откуда может исходить IP 100.99.12.139. -
Мониторинг трафика: Установите Wireshark или другой инструмент мониторинга сетевого трафика. Это даст более глубокое понимание того, какие пакеты и куда отправляются с вашего устройства.
-
Настройка роутера: Изучите и, при необходимости, перенастройте параметры брендмауэра роутера. Удостоверьтесь в адекватной настройке таймаутов отслеживания соединений, чтобы уменьшить количество ложных срабатываний.
Таким образом, следуя этим шагам, вы сможете лучше контролировать сетевую безопасность своего устройства и избегать неоправданных беспокойств по поводу активности, которая на первый взгляд кажется подозрительной.