Strana attività del NAS su Internet

[loripino21]

Ciao a tutti,
circa un mese fa ho impostato il mio nas (TS-219P+) in modo tale da poterci accedere dall' esterno:
1. ho creato un account dyndns e l'ho configurato sul router
2. ho forwardato le porte per il portale HTTP,per il servizio FTP e SSH manualmente sul router.

Tutto funzionava perfettamente. Un giorno noto forte attività sul router: vado a vedere nei registri, oltre 4000 tentativi d'accesso via ssh di qualche lamer idiota che non ha combinato nemmeno ad entrare (lo stupido ha provato 4000 nomi utente diversi invece di focalizzarsi su admin, per mia fortuna, visto che la password era debole).

Passo subito alle difese: attivo la protezione da portscan e DoS sul router, annullo il forward delle porte di SSH e FTP, cambio tutte le password creandole più "strong" possibile.

Adesso ricevo moltissimi attacchi DoS, tutti parati dal router (per fortuna). La situazione però non mi piace, e ho annullato ieri l' aggiornamento automatico del mio IP sull' account DynDns. Gli attacchi sono smessi, essendo il mio IP cambiato (per ora almeno)

Il problema è il seguente: perchè diavolo il NAS lavora continuamente su Internet??? Ieri volevo vedermi un film in streaming, si caricava lentissimamente (ho l'ADSL a 20 mb!!) ho staccato il NAS e zac, mi si carica pure in HD in un attimo.
Niente in download, mldonkey terminato (il processo proprio, con mldonkey.sh stop), nessuno che accede ai file... Insomma dovrebbe stare fermo immobile!!
Una cosa mi fa paura: nonostante abbia tolto il forward delle porte, il router nei registri dice:

Sun, 2011-10-16 18:04:19 - UDP Packet - Source:218.173.60.247,11106 Destination:192.168.1.100,6881 - [DOS]
Sun, 2011-10-16 18:04:19 - UDP Packet - Source:119.160.174.208,9687 Destination:192.168.1.100,6881 - [DOS]
Sun, 2011-10-16 18:04:19 - UDP Packet - Source:82.240.55.5,51413 Destination:192.168.1.100,6881 - [DOS]
Sun, 2011-10-16 18:04:19 - UDP Packet - Source:79.20.126.241,1755 Destination:192.168.1.100,6881 - [DOS]
Sun, 2011-10-16 18:04:15 - UDP Packet - Source:81.225.69.198,1129 Destination:192.168.1.100,6881 - [DOS]
(e così via oltre 400 attacchi tutti con IP sorgenti diversi)

Cioè che ha bloccato attacchi DOS... ma perchè, perchè la destinazione è l' IP del nas, 192.168.1.100, se HO TOLTO il forward delle porte?!? (i registri sono dell' ultimo attacco prima che disattivassi l' aggiornamento dell' account DynDns).
Grazie per l' aiuto!!!

[luciano]

Beh il traffico è dato dagli attacchi, non è il NAS che fa traffico "occulto".
Riguarda l'ultima domanda.... non è che hai qualche servizio attivo che apre le porte via uPNP?

[loripino21]

eh no, anche adesso che non aggiorno più il mio account dyndns e non ho più alcun attacco comunque il nas continua a far lampeggiare quella dannata lucetta di attività sul router!

[luciano]

E' difficile aiutarti cosi, sparando a casaccio, non posso sapere cosa c'è attivo sul tuo NAS; ormai ci sono tali e tanti servizi che potrebbe essere qualsiasi cosa.
Prova a sniffare la porta del NAS con qualche software tipo wireshark...