前情提要
前几天自己闲鱼买了个2.5G光猫,同时卖家远程协助改了猫的配置,今天发现后台有很多被drop的log,源ip如下 79.124.62.126、 79.124.62.134、 79.124.62.122...(宽带有公网ip)(老的光猫没有这些log)
日志截图如下
日志信息如下
[tcp-port-0] bad-tcp: in:ros_pppoe out:(unknown 0), connection-state:invalid proto TCP (SYN), 79.124.62.126:0->xxxxxxxxx:26020, len 44
Help
有没有好大哥帮忙看看,这是什么情况?怎么处理? 
info信息,关了info等级就行了,应该是被扫端口了,syn
不用管 SYN invalid 的本来就是要被丢弃的
R1的回复
你在新光猫中看到的被丢弃的 TCP 连接日志,是典型的互联网公网IP暴露后遇到的扫描行为。以下是详细分析和建议:
一、日志现象解析
IP来源分析
79.124.62.0/24 段归属罗马尼亚,属于 M247 Ltd 数据中心(知名扫描源)。
此类IP多为自动化脚本或僵尸网络发起,目的是探测公网设备的开放端口和漏洞。
日志含义
bad-tcp: connection-state:invalid proto TCP (SYN) 表示检测到异常的 TCP 握手包(如 SYN 包异常、源端口为0、数据包格式不合规等)。
系统防火墙判定其为恶意流量后主动丢弃(DROP),属于安全防护的正常机制。
旧光猫无日志的原因
旧设备可能未启用深度包检测(DPI)或日志记录功能。
新光猫的防火墙规则更严格(如启用 SYN 泛洪防护),或配置了更详细的日志记录。
二、潜在风险
端口扫描
攻击者通过 26020 等非常用端口探测设备,试图发现弱密码、未修复漏洞的服务。
DDoS试探
异常 TCP SYN 包可能是 DDoS 攻击的前期探测,测试设备抗压能力。
服务暴露
若光猫或内网设备存在暴露在公网的服务(如远程管理界面),可能成为攻击入口。
三、应对措施
1. 基础防护
关闭光猫远程管理
进入光猫后台(通常为 192.168.1.1),在 安全设置 或 远程管理 中禁用外网访问权限。
禁用UPnP
防止光猫自动开放高危端口(路径:应用设置 → UPnP设置)。
更新固件
检查光猫厂商官网,升级到最新固件修复潜在漏洞。
2. 防火墙优化
启用入站连接默认拒绝
确保光猫防火墙策略为 仅允许必要端口,默认拒绝所有入站连接。
配置SYN Cookies防护
在防火墙高级设置中启用 SYN 泛洪防护(如有相关选项)。
3. 网络架构调整
光猫桥接模式 + 独立路由器
将光猫改为桥接模式,通过专业路由器拨号。路由器防火墙功能更强(如OpenWRT/iKuai/企业级设备),可提供更细致的流量过滤。
端口隐藏
使用非标准端口映射(如将 SSH 22 端口改为高位随机端口),降低被扫描概率。
4. 高级防护(可选)
部署入侵检测系统(IDS)
如 Suricata 或 Snort,实时分析流量并拦截恶意IP。
配置IP黑名单
将频繁扫描的IP段(如79.124.62.0/24)加入光猫或路由器的静态黑名单。
四、持续监控
定期检查日志
关注高频出现的IP段,及时更新黑名单。
使用威胁情报平台
通过 AbuseIPDB 查询IP信誉,确认是否为已知恶意地址。
内网渗透测试
使用工具(如Nmap、Nessus)模拟攻击,验证内网服务安全性。
总结
当前日志属于公网IP的常态安全事件,无需过度恐慌。关键在于通过防火墙最小化暴露面,并通过合理的网络架构(光猫桥接+专业路由器)提升整体安全性。若后续出现服务异常或日志量激增,建议联系运营商协助排查。
丢给r1看下