Início / computer / Perguntas / 1870675
Accepted
Cheezzy
Asked: 2025-01-16 13:47:55 +0800 CST

Log do Firewall do Win10 - Entradas estranhas de endereço IP de origem e destino

  • 772

IP do meu computador: 192.168.1.69

Por que o log do Firewall do meu computador mostraria o IP de origem diferente nos pacotes enviados? E eu deveria me preocupar? Afinal, meu roteador está recebendo muitos ataques DoS aleatórios. (Um exemplo de alguns abaixo também).

Registro do Firewall do Windows 10

2025-01-15 22:00:13 ALLOW UDP 100.99.12.139 103.86.96.96 62695 53 0 - - - - - - - SEND
2025-01-15 22:00:21 ALLOW TCP 192.168.1.69 52.113.194.132 49588 443 0 - 0 0 0 - - - SEND
2025-01-15 22:00:38 ALLOW UDP 100.99.12.139 103.86.99.99 53701 53 0 - - - - - - - SEND
2025-01-15 22:00:38 ALLOW UDP 192.168.1.69 216.129.224.1 63198 53 0 - - - - - - - SEND

** Algumas entradas DoS do log do meu roteador**

[DoS attack: ACK Scan] from source: 12.208.172.3:45842 Wednesday, January 15,2025 20:21:39
[DoS attack: ACK Scan] from source: 68.112.189.10:50286 Wednesday, January 15,2025 19:39:34     
[site allowed: c.pki.goog] from source 192.168.1.69 Wednesday, January 15,2025 19:37:17     
[site allowed: x1.c.lencr.org] from source 192.168.1.69 Wednesday, January 15,2025 19:37:17     
[site allowed: ctldl.windowsupdate.com] from source 192.168.1.69 Wednesday, January 15,2025 19:37:17     
[UPnP set event:AddPortMapping] from source 192.168.1.70 Wednesday, January 15,2025 19:20:40     
[site allowed: static.vseetvbox.com] from source 192.168.1.70 Wednesday, January 15,2025 19:20:31
[DoS attack: ACK Scan] from source: 80.75.221.38:7777 Wednesday, January 15,2025 18:54:05     
[DoS attack: ACK Scan] from source: 62.60.227.26:80 Wednesday, January 15,2025 18:39:06     
[site allowed: c.pki.goog] from source 192.168.1.69 Wednesday, January 15,2025 18:36:25
windows-10

1 respostas

  1. Best Answer

    Por que o log do Firewall do meu computador mostraria o IP de origem diferente nos pacotes enviados?

    Parece que seu computador tem mais de um endereço IP. O 192.168.1.69endereço pertence à sua interface física de Wi-Fi ou Ethernet, enquanto o 100.99.12.139endereço provavelmente pertence a uma interface VPN virtual (como Tailscale talvez) – VPNs não são bem o uso pretendido do intervalo 100.64/10 CGNAT, mas é um uso comum, no entanto.

    Compare os endereços com o que é mostrado por ipconfig. Se você não encontrar uma correspondência em lugar nenhum, então você pode dizer que é um pouco estranho. Você pode instalar o Wireshark (ou algum outro programa de captura de pacotes de rede) e realmente olhar o que o computador está enviando.

    meu roteador está recebendo muitos ataques DoS aleatórios

    Não é. O firmware do roteador está sendo desnecessariamente paranóico sobre o que ele chama de DoS. Por um lado, mesmo assumindo que o rótulo "ACK Scan" fosse verdadeiro, um port scan típico não chega nem perto de um ataque DoS (e tais métodos são feitos para serem difíceis de notar, o que é literalmente o oposto de um ataque de "negação de serviço").

    Por razões semelhantes, alguns desses métodos podem ser difíceis de detectar de forma confiável. No seu caso, é difícil para o roteador dizer a diferença entre ser um pacote "ACK portscan" e ser um "pacote ACK comum que pertence à conexão que o roteador não conhece".

    Por exemplo, se uma conexão TCP ficou ociosa por tanto tempo que o roteador decidiu "esquecê-la" (os firewalls de alguns roteadores Wi-Fi domésticos são configurados com tempos limite de rastreamento de estado muito curtos) e o servidor de repente lhe enviou alguns dados, o roteador agora os verá como um pacote inválido – e, no seu caso, provavelmente presumirá que é um ataque.

    • 1

relate perguntas