我的电脑IP:192.168.1.69
为什么我的计算机防火墙日志会显示发送的数据包的源 IP 不同?我应该担心吗?毕竟,我的路由器受到了很多随机 DoS 攻击。(下面也有一些示例)。
Windows 10 防火墙日志
2025-01-15 22:00:13 ALLOW UDP 100.99.12.139 103.86.96.96 62695 53 0 - - - - - - - SEND
2025-01-15 22:00:21 ALLOW TCP 192.168.1.69 52.113.194.132 49588 443 0 - 0 0 0 - - - SEND
2025-01-15 22:00:38 ALLOW UDP 100.99.12.139 103.86.99.99 53701 53 0 - - - - - - - SEND
2025-01-15 22:00:38 ALLOW UDP 192.168.1.69 216.129.224.1 63198 53 0 - - - - - - - SEND
** 我的路由器日志中的一些 DoS 条目**
[DoS attack: ACK Scan] from source: 12.208.172.3:45842 Wednesday, January 15,2025 20:21:39
[DoS attack: ACK Scan] from source: 68.112.189.10:50286 Wednesday, January 15,2025 19:39:34
[site allowed: c.pki.goog] from source 192.168.1.69 Wednesday, January 15,2025 19:37:17
[site allowed: x1.c.lencr.org] from source 192.168.1.69 Wednesday, January 15,2025 19:37:17
[site allowed: ctldl.windowsupdate.com] from source 192.168.1.69 Wednesday, January 15,2025 19:37:17
[UPnP set event:AddPortMapping] from source 192.168.1.70 Wednesday, January 15,2025 19:20:40
[site allowed: static.vseetvbox.com] from source 192.168.1.70 Wednesday, January 15,2025 19:20:31
[DoS attack: ACK Scan] from source: 80.75.221.38:7777 Wednesday, January 15,2025 18:54:05
[DoS attack: ACK Scan] from source: 62.60.227.26:80 Wednesday, January 15,2025 18:39:06
[site allowed: c.pki.goog] from source 192.168.1.69 Wednesday, January 15,2025 18:36:25
听起来你的电脑有多个IP 地址。该
192.168.1.69地址属于你的物理 Wi-Fi 或以太网接口,而该100.99.12.139地址可能属于虚拟 VPN 接口(例如 Tailscale)——VPN 并不是 100.64/10 CGNAT 范围的预期用途,但它仍然是一种常见用途。将地址与 显示的地址进行比较
ipconfig。如果您在任何地方都找不到匹配项,那么您可能会说这有点奇怪。您可以安装 Wireshark(或其他网络数据包捕获程序)并实际查看计算机发送的内容。事实并非如此。路由器的固件对所谓的 DoS 过于谨慎。首先,即使假设“ACK 扫描”标签是真的,典型的端口扫描也远不及 DoS 攻击(而且此类方法很难被发现,这与“拒绝服务”攻击正好相反)。
由于类似的原因,有些方法很难可靠地检测。就您的情况而言,路由器很难区分它是“ACK 端口扫描”数据包还是“属于路由器不知道的连接的普通 ACK 数据包”。
例如,如果 TCP 连接空闲时间过长,路由器决定“忘记”它(某些家庭 wifi 路由器的防火墙配置了非常短的状态跟踪超时),并且服务器突然向您发送一些数据,路由器现在会将其视为无效数据包 - 并且在您的情况下可能认为这是一次攻击。