家里或公司用的路由器启用了IPS(入侵防御系统)功能,结果隔三差五弹出“TCP SYN Flood攻击检测”“HTTP SQL注入尝试”这类报警,点开一看源IP全是192.168.1.103、192.168.1.115——再一查,是自家打印机、智能音箱在发包。不是黑客,是设备自己‘手抖’。
先别急着关IPS,看懂报警才不误伤
很多用户一看到“攻击”俩字就慌,直接在管理界面把IPS关掉。其实多数报警只是规则触发,并非真被黑了。关键得看三样:源IP、目的端口、匹配规则名。比如报警写着“匹配规则:ET POLICY FTP Login Brute Force”,而源IP是你笔记本,时间又是你刚输错三次FTP密码那会儿——大概率就是自己试出来的。
常见误报场景和应对法
场景1:NAS或下载器频繁连接外部Tracker
某些BT客户端每秒向几十个IP发UDP请求,被IPS当成UDP Flood。解决办法:进路由器IPS规则库,临时禁用“UDP Flood Detection”子规则,或把NAS的IP加入信任列表(白名单)。
场景2:手机APP后台心跳包触发HTTP异常检测
微信、钉钉这类App每分钟向服务器发带特殊User-Agent的GET请求,某些老旧IPS规则会误判为扫描行为。可进入“路由调优→安全策略→IPS高级设置”,将“HTTP User-Agent异常检测”强度调为“低”或“关闭”。
动手过滤真实威胁
真遇到可疑报警,别只看提示文字。登录路由器后台,打开日志详情页,复制源IP,然后在终端里跑一句:
whois 203.123.45.67如果返回的是越南某IDC或俄罗斯VPS服务商,且同一IP在10分钟内触发5条以上不同规则(如“SSH暴力破解”+“ICMP Flood”),建议立刻在防火墙里拉黑该IP段:
iptables -I FORWARD -s 203.123.45.0/24 -j DROP(注:部分家用路由器不支持命令行,可在“安全设置→IP黑名单”里手动填入203.123.45.0/24)
调优小技巧:让IPS更懂你的网络
默认IPS规则是按公网环境设计的,局域网内反而容易误杀。进“路由调优→IPS配置”,把“本地子网检测”选项勾上,这样192.168.x.x和10.x.x.x的流量就不会走高敏感规则;同时把“告警阈值”从默认的3次/分钟调到8次/分钟——给IoT设备多留点呼吸空间。
最后提醒一句:IPS不是万能盾,它只管“已知模式”。真正防住0day漏洞,还得靠及时升级固件、关闭不用的远程管理端口(比如Telnet默认23端口),以及——别用admin/admin当管理员密码。