Webbanalys
Bredbandsattacker mot router
Loggning av inkommande trafik till en bredbandsrouter är enda chansen att få en överblick på de attacker och intrångsförsök som sker dygnet om.
Översikt på attackanrop 24 timmar

Med en router inkopplad i bredbandsuttaget har de flesta mer än en dator/mobil/platta uppkopplad via kabel eller WiFi, routern förmedlar datatrafiken mellan dessa och internetleverantören.

En korrekt konfigurerad router blockerar på daglig basis ett stort antal oönskade anrop till specifika portar utifrån internet, vissa är tämligen harmlösa anrop medan andra är ute efter att utnyttja och även skada andra enheter bakom routern men även ute på internet.

Men om routern är felkonfigurerad så är olyckan inte långt borta, och därmed kan angripare ta sig fram till enheter i syfte att använda dem i t.ex. ett botnet.

En modern router möjliggör att peka ut att loggning av internettrafiken sker till en syslogserver, och med denna samt ett par smarta program kan man både visualisera trafiken men även analysera den. Som synes i 1:a bilden så sker oönskade anrop 24/7.

Dessutom kan man genom deltagande i exempelvis Dshield dela med sig anonymt av all den intrångsdata som insamlas fortlöpande.

Rapportering av attackanrop till DshieldInkommande anrop från internet som routern får är adresserade till specifika portar. T.ex. så skickas surfanrop till port 80 (http) / port 443 (https).

I en router som har en web server bakom sig så är dessa portar öppna för att trafik från internet skall servern givetvis, loggfilerna från denna kan dessutom analyseras för att finna attackmönster.

Den 2:a bilden visar en Dshield export till trafiken till min egen router, under en helt vanlig dag har över 2k oönskade anrop inkommit och routern har avböjt dessa samt loggat vilka IP och på vilka portar som anropen inkommit.

Lite märkligt är det att internetleverantörer inte erbjuder en möjlighet att hos dem välja vilka inkommande portar man önskar ha öppna, däremot så har de som t.ex Telia blockerat port 25 för SMTP (utgående email) och 53 (DNS) för att minska problem med just dessa portar (spam resp. DDoS).

HTTP anrop till anropande IP

De IP nummer som loggas har ofta dörren vidöppen till webbgränssnittet för routern, en anledning kan vara ett missförstånd med vad aktiveringen av web access från WAN (internetporten) betyder. Kör man dessutom routern med default inloggningen så kommer det garanterat påhälsning.

Fördelen med att logga bredbandsattacker är att en tydligare bild av varför ditt internet "går dåligt/segt" framträder, starta om routern + be till högre makter att en ny IP address tilldelas dig. Därmed slipper du sitta i telefonkö till en kundsupport som förmodligen mycket lite kan göra annat än att be dig starta om routern.

---
bc