Toon posts:

[@Home] Reactie op attacks van buitenaf

Pagina: 1
Acties:

maandag 14 maart 2005 14:48

Acties:

Verwijderd

Topicstarter
Aangezien mijn US Robotics Wireless Router de mogelijkheid heeft om statusreports over de firewall per mail te versturen, valt het me in een keer op dat mijn netwerk bijzonder veel wordt aangevallen aangezien de mails gewoon binnenstromen. Veelal betreft het hier dezelfde IP's. Waarschijnlijk voeren ze een geautomatiseerde port scan uit maar dezelfde IP's blijven maar terugkomen.

Nu m'n vraag: wat kan ik hier tegen doen?
Zelf zat ik te denken om via het WHOIS record de ISP aan te spreken voor wat betreft IP's die ontzettend vaak voorkomen.
Andere optie is om de IP's te gaan bombarderen (port scan uitvoeren op hun IP) .
Mag deze laatste optie en heeft de eerste optie sowieso zin?
Tot nu toe merk ik qua snelheid niets van deze attacks maar ik zou me zomaar kunnen voorstellen dat dit mijn snelheid kan beinvloeden.

Hieronder even een kleine greep van wat er in de mails staat:
code:
1
2
3
4
5
6
7
8
9
10
11

2005/03/14 01:33:00 : Blocked access attempt from 213.51.128.xxx
2005/03/14 01:57:57 : Blocked access attempt from 218.166.146.xxx
2005/03/14 01:58:16 : Blocked access attempt from 222.88.173.xxx
2005/03/14 02:10:44 : Blocked access attempt from 213.137.124.xxx
2005/03/14 02:20:16 : Blocked access attempt from 210.87.136.xxx
2005/03/14 02:38:23 : Blocked access attempt from 222.88.173.xxx
2005/03/14 03:00:43 : Blocked access attempt from 81.88.18.xxx
2005/03/14 03:01:16 : Blocked access attempt from 69.235.135.xxx
2005/03/14 03:03:20 : Blocked access attempt from 222.88.173.xxx
2005/03/14 03:03:49 : Blocked access attempt from 213.49.68.xxx
2005/03/14 03:05:11 : Blocked access attempt from 68.143.90.xxx

maandag 14 maart 2005 14:51

Acties:
  • André
  • Registratie: Maart 2002
  • Laatst online: 20-02 09:23

André

Analytics dude

De eerste optie heeft sowieso zin, zo kan de provider eventuele maatregelen nemen. De 2de optie lijkt me niet de bedoeling en heeft ook weinig zin.

maandag 14 maart 2005 16:08

Acties:
  • Erik1
  • Registratie: Juni 2001
  • Niet online

Erik1

De poorten staan er niet bij maar ik denk dat je router met "Access attempt" de webinterface op poort 80 bedoelt. Kan ik me best voorstellen want op mijn server krijg ik ook allerlei onzin. Mensen die IIS exploits proberen uit te voeren enzo (terwijl ik Apache op Linux draai). Dat doen ze gewoon bij duizenden IP's op een rij. Bij een routertje lukken die "aanvallen" toch nooit dus daar hoef je je geen zorgen om te maken.

maandag 14 maart 2005 16:20

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 28-01 19:27

leuk_he

1. Controleer de kabel!

Verwijderd schreef op maandag 14 maart 2005 @ 14:48:
op dat mijn netwerk bijzonder veel wordt aangevallen aangezien de mails gewoon binnenstromen.
Aaanvallen: Een enkele scan is niet echt e een aanval. PRobeer eens uit te vinden wat ze werkelijk doen. Grote kans is dat het een code-red achtig virus is dat zich probeerd te verspreiden.

Als je hebt uitegevonden wat ze doen kun je (via whois inderdaad) de abuse van de provider eens mailen. Terug "aanvallen" heeft niet zoveel zin. Met jouw simpele lijntje kun je ze toch niet plat leggen (Doss'en) en kan enkel jou in moeilijkheden brengen asl ze een klachte tegen je indienen.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

maandag 14 maart 2005 17:20

Acties:

Verwijderd

Volgens mij hoef je je hier niet druk om te maken. Waarschijnlijk staat de webinterface voor je router open voor de buitenwereld, check eens ofdat die dicht kan.

maandag 14 maart 2005 17:56

Acties:

Verwijderd

Topicstarter
Alle poorten van buiten naar binnen staan dicht; webinterface van router staat alleen open voor LAN, geen remote admin dus.
Helaas is dit alle informatie welke de router mij geeft; Tijdstip en IP adres.
Ben van plan om een applicatie te bouwen die via POP3 automagisch de router boodschappen ophaalt en in een db invoert zodat ik snel kan zien wie het meest aan de poort klopt, misschien nog geautomatiseerde WHOIS informatie ophalen en via SMTP een abuse melding zenden.

maandag 14 maart 2005 19:20

Acties:
  • Erik1
  • Registratie: Juni 2001
  • Niet online

Erik1

Ik denk dat ze daar bij de abuse afdeling waar je dat heen stuurt niet blij van worden.

Ik zou eerst ff uitzoeken wat er werkelijk gebeurt, en als je geen servers draait sowiso alle poorten van buiten naar binnen dicht gooien. Als ze dat al staan dan zijn die meldingen ook niet nuttig en kun je ze gewoon negeren. Je zou ook een poortscan op jezelf uit kunnen voeren om snel te kunnen zien wat er allemaal open staat. (Bijv. via http://www.grc.com/x/ne.dll?rh1dkyd2 )

maandag 14 maart 2005 19:30

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 00:43

_JGC_

Leuk en aardig, die break in attempts... Wanneer triggert ie zoiets? als jij op een IRC server connect en de open proxy scan krijgt? Als jij active FTP gebruikt en de FTP server een open poort afspreekt en niet kan vinden? etc etc...

Pas als ik een ssh scan over mn dak krijg, gaat er een abuse naar de provider. Ook bij mail dictionary attacks verzamel ik gewoon een lijst met IPs, sorteer dit op provider en pleur ik dit met timestamps + tijdzone naar de betreffende provider, hebben die ook weer wat te doen met open relays sluiten.

maandag 14 maart 2005 21:07

Acties:

Verwijderd

Topicstarter
Voor alle duidelijkheid: alle poorten staan dicht. Alle computers achter router staan uit en toch zoveel attacks. Ik zeg hier attack omdat bepaalde IP's maar blijven komen.

dinsdag 15 maart 2005 10:56

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 00:43

_JGC_

Mja, zoals ik al zei: wat is een attack? probeert ie je te pingen? doet ie een klein scannetje vanwege active FTP (krijg hier met scanlogd ook _ALTIJD_ een portscan probe melding als iemand met IE op FTP connect, waardeloos proggel dus en ik gebruik het niet meer), etc etc.

Ik vind het altijd maar overdreven, dat gedoe van abuse contact omdat je iets vreemds ziet op je firewall. Heb je er last van? Lijkt me niet. Zoals ik eerder zei: alleen melden als je er last van hebt, niet omdat je router zegt dat ie een willekeurige verbinding van buitenaf tegenhoudt. Voor't zelfde ist je buurman die het netwerk afzoekt naar online games, wat weet die router ervan?

dinsdag 15 maart 2005 11:21

Acties:

Verwijderd

Topicstarter
Nogmaals: _ALLE_ poorten staan dicht; geen FTP, geen HTTP, geen ping, niks maar dan ook niks. Aangezien ik geen informatie heb over welke poort wordt getriggerd kan ik weinig zeggen over de aard van de poging om aan mijn netwerk te connecten. Wel is duidelijk dat bepaalde IP's heel vaak voorkomen en daarom beschouw ik het als een poging om ongeauthoriseerd met mijn netwerk te verbinding.
En of ik er last van heb: ja, want het is ongeauthoriseerd. Of ik er hinder van ondervind: tot op heden niet, maar als het aantal pogingen toeneemt kan ik me zomaar voorstellen dat ik er wel hinder van kan gaan ondervinden.

dinsdag 15 maart 2005 11:27

Acties:
  • Erik1
  • Registratie: Juni 2001
  • Niet online

Erik1

Als je ze allemaal dicht hebt kan het ook absoluut geen kwaad. (En ping is geen poort)

Verder zou ik eerst eens uitzoeken welke poorten het dan precies zijn als je toch nieuwschierig bent.

dinsdag 15 maart 2005 12:19

Acties:
  • GrooV
  • Registratie: September 2004
  • Laatst online: 19-02 13:05

GrooV

Ping gaat we gewoon via een poort hoor! ;)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq