Hola
De vez en cuando mi router interpreta que mi ordenador hace un ataque DOS en el puerto dns, y bloquea durante un tiempo mi IP local.
El log es como sigue:
<80> Mar 26 21:27:09 IDS dos parser : udp flood (1 of 1) : 192.168.1.64 192.168.1.254 0064 UDP 58187->53
<80> Mar 26 21:31:58 IDS rate parser : tcp rate limiting (1 of 1) : 192.168.1.64 93.184.220.20 0048 TCP 2
810->80 [S.....] seq 2060220943 win 65535
<80> Mar 26 21:35:00 IDS rate parser : udp rate limiting (1 of 1) : 192.168.1.64 192.168.1.254 0061 UDP 6
1139->53
<80> Mar 26 22:13:05 IDS dos parser : tcp syn flood (1 of 1) : 87.223.254.133 37.14.218.124 0048 TCP 51664-
>15054 [S.....] seq 2539077493 win 8192
He mirado la configuración en el interfaz CLI :
{Administrator}[ids threshold]=>list
index name window limit scaling
-----------------------------------------------------------------
1. ids frag sweep 1 10 disabled
2. ids scan 20 20 enabled
3. ids flood 2 100 disabled
4. ids tcp rate 1 200 disabled
5. ids udp rate 1 200 disabled
6. ids icmp rate 1 200 disabled
7. ids ip rate 1 200 disabled
Quero modificar el threshold con : ids threshold modify index = window limit
Pero no se las unidades de window. Se que es un intervalo de tiempo, pero ¿ que unidades ? ¿ segundos ? ¿ milisegundos ?.
Por otra parte, ese fenómeno se da después de actualizar mi antivirus, avast.
También tengo normalmente instalado Comodo Firewall. He desinstalado el firewall provisionalmente para comprobar si los primeros días hay disfunciones hasta que los servidores de Comodo riene identificado a las nuevas versiones de Avast.
Pasados unos días, mi router ya no se bloquea. ¿ Alguna idea ?
=====================================================
He desactivado el control ids, pero no me gusta esa solución.
Rogaría que alguien me sugiriese una estartegia para poder excluir los ordenadores locales del control IDS.