Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
268 lecturas y 0 respuestas
  • configuración de IDS en thomson tg585

    Hola

    De vez en cuando mi router interpreta que mi ordenador hace un ataque DOS en el puerto dns, y bloquea durante un tiempo mi IP local.

    El log es como sigue:

    <80> Mar 26 21:27:09 IDS dos parser : udp flood (1 of 1) : 192.168.1.64 192.168.1.254 0064 UDP 58187->53
    <80> Mar 26 21:31:58 IDS rate parser : tcp rate limiting (1 of 1) : 192.168.1.64 93.184.220.20 0048 TCP 2
    810->80 [S.....] seq 2060220943 win 65535
    <80> Mar 26 21:35:00 IDS rate parser : udp rate limiting (1 of 1) : 192.168.1.64 192.168.1.254 0061 UDP 6
    1139->53
    <80> Mar 26 22:13:05 IDS dos parser : tcp syn flood (1 of 1) : 87.223.254.133 37.14.218.124 0048 TCP 51664-
    >15054 [S.....] seq 2539077493 win 8192

    He mirado la configuración en el interfaz CLI :

    {Administrator}[ids threshold]=>list
    index name window limit scaling
    -----------------------------------------------------------------
    1. ids frag sweep 1 10 disabled
    2. ids scan 20 20 enabled
    3. ids flood 2 100 disabled
    4. ids tcp rate 1 200 disabled
    5. ids udp rate 1 200 disabled
    6. ids icmp rate 1 200 disabled
    7. ids ip rate 1 200 disabled

    Quero modificar el threshold con : ids threshold modify index = window limit

    Pero no se las unidades de window. Se que es un intervalo de tiempo, pero ¿ que unidades ? ¿ segundos ? ¿ milisegundos ?.

    Por otra parte, ese fenómeno se da después de actualizar mi antivirus, avast.

    También tengo normalmente instalado Comodo Firewall. He desinstalado el firewall provisionalmente para comprobar si los primeros días hay disfunciones hasta que los servidores de Comodo riene identificado a las nuevas versiones de Avast.

    Pasados unos días, mi router ya no se bloquea. ¿ Alguna idea ?

    =====================================================

    He desactivado el control ids, pero no me gusta esa solución.

    Rogaría que alguien me sugiriese una estartegia para poder excluir los ordenadores locales del control IDS.

    1