Toon posts:

Plotseling upload van 200 - 400 kB/s

Pagina: 1
Acties:

vrijdag 28 oktober 2005 16:02

Acties:

Verwijderd

Topicstarter
Ik heb een netwerkje met een server (Win2K Server met DHCP) en daar hangt een PC aan die de laatste tijd als ik hem aanzet na ca. een half uur een upload naar internet genereert van 200 - 400 kB/s.
Dan kan ik niet meer internetten met mijn server en ook niet met met de andere PC. Als ik de netwerkverbinding verbreek op de client PC dan kan ik wel weer internetten op mijn server, maar zodra ik op de client PC de netwerkverbinding weer herstel.....hopla....weer een upload van 200 - 400 kB/s. Als ik mijn PC een tijd uitzet en daarna weer opstart werkt het weer een half uur goed maar daarna.........pffffffff
Ik heb Hitman Pro en Microsoft Antispyware erop losgelaten en ook mijn virusscanners zijn regelmatig geupdate.
Iemand een idee hoe ik dit kan oplossen...ik heb ook al een systemrestore uitgevoerd naar een datum voordat het probleem plaatsvond, maar dit hielp ook niet.

Ik kreeg van de netwerkbeheerder van mijn werk de tip om Ethereal mee te laten lopen. Dit gaf de volgende lijst met netwerkverkeer (alleen de eerste paar 10000-sten van seconden):

No. Time Source Destination Protocol Info
1 0.000000 0.0.0.0 64.20.43.107 TCP 4313 > http [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1460

Frame 1 (62 bytes on wire, 62 bytes captured)
Ethernet II, Src: Mototech_34:06:9e (00:50:bf:34:06:9e), Dst: Mototech_34:11:ef (00:50:bf:34:11:ef)
Internet Protocol, Src: 0.0.0.0 (0.0.0.0), Dst: 64.20.43.107 (64.20.43.107)
Transmission Control Protocol, Src Port: 4313 (4313), Dst Port: http (80), Seq: 0, Ack: 0, Len: 0

No. Time Source Destination Protocol Info
2 0.000204 0.0.0.0 64.20.43.107 TCP 4205 > http [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1460

Frame 2 (62 bytes on wire, 62 bytes captured)
Ethernet II, Src: Mototech_34:06:9e (00:50:bf:34:06:9e), Dst: Mototech_34:11:ef (00:50:bf:34:11:ef)
Internet Protocol, Src: 0.0.0.0 (0.0.0.0), Dst: 64.20.43.107 (64.20.43.107)
Transmission Control Protocol, Src Port: 4205 (4205), Dst Port: http (80), Seq: 0, Ack: 0, Len: 0

No. Time Source Destination Protocol Info
3 0.000337 0.0.0.0 64.20.43.107 TCP 4718 > http [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1460

Frame 3 (62 bytes on wire, 62 bytes captured)
Ethernet II, Src: Mototech_34:06:9e (00:50:bf:34:06:9e), Dst: Mototech_34:11:ef (00:50:bf:34:11:ef)
Internet Protocol, Src: 0.0.0.0 (0.0.0.0), Dst: 64.20.43.107 (64.20.43.107)
Transmission Control Protocol, Src Port: 4718 (4718), Dst Port: http (80), Seq: 0, Ack: 0, Len: 0

No. Time Source Destination Protocol Info
4 0.000467 0.0.0.0 64.20.43.107 TCP 4639 > http [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1460

Frame 4 (62 bytes on wire, 62 bytes captured)
Ethernet II, Src: Mototech_34:06:9e (00:50:bf:34:06:9e), Dst: Mototech_34:11:ef (00:50:bf:34:11:ef)
Internet Protocol, Src: 0.0.0.0 (0.0.0.0), Dst: 64.20.43.107 (64.20.43.107)
Transmission Control Protocol, Src Port: 4639 (4639), Dst Port: http (80), Seq: 0, Ack: 0, Len: 0

No. Time Source Destination Protocol Info
5 0.000590 0.0.0.0 64.20.43.107 TCP 4636 > http [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1460

Frame 5 (62 bytes on wire, 62 bytes captured)
Ethernet II, Src: Mototech_34:06:9e (00:50:bf:34:06:9e), Dst: Mototech_34:11:ef (00:50:bf:34:11:ef)
Internet Protocol, Src: 0.0.0.0 (0.0.0.0), Dst: 64.20.43.107 (64.20.43.107)
Transmission Control Protocol, Src Port: 4636 (4636), Dst Port: http (80), Seq: 0, Ack: 0, Len: 0

No. Time Source Destination Protocol Info
6 0.000715 0.0.0.0 64.20.43.107 TCP 4196 > http [SYN] Seq=0 Ack=0 Win=64240 Len=0 MSS=1460

Frame 6 (62 bytes on wire, 62 bytes captured)
Ethernet II, Src: Mototech_34:06:9e (00:50:bf:34:06:9e), Dst: Mototech_34:11:ef (00:50:bf:34:11:ef)
Internet Protocol, Src: 0.0.0.0 (0.0.0.0), Dst: 64.20.43.107 (64.20.43.107)
Transmission Control Protocol, Src Port: 4196 (4196), Dst Port: http (80), Seq: 0, Ack: 0, Len: 0

Bij elke regel staat het IP-adres 64.20.43.107 genoemd. Zoeken met Google gaf me geen verdere informatie hierover. Iemand een idee hoe deze upload wordt veroorzaakt en hoe ik dit kan verhinderen ?

vrijdag 28 oktober 2005 16:04

Acties:
  • sPENKMAN
  • Registratie: April 2002
  • Laatst online: 27-04 13:05

sPENKMAN

Ik heb er niet veel verstand van, maar het lijkt erop dat je bak meehelpt aan een DDOS aanval?

De aanval richt zich in ieder geval op poort 80, dus goed mogelijk een webserver.

Haal iig maar even je pc van het internet af totdat je zeker bent over waar dit vandaan komt, ik kan er goed naast zitten hoor, maar je kan beter zeker zijn dat je je niet schuldig maakt aan een laffe aanval :)

[ Voor 62% gewijzigd door sPENKMAN op 28-10-2005 16:07 ]

Eve char: Warock <TEST>

vrijdag 28 oktober 2005 16:07

Acties:
  • Bram77
  • Registratie: September 2004
  • Laatst online: 10-07-2023

Bram77

Installeer LanGuard anders even. Of die software van Iris (?). Dan kun je nog wat meer informatie achterhalen.

vrijdag 28 oktober 2005 16:09

Acties:

Verwijderd

Kan ook zijn dat je geroot bent en dat je nu helpt met het verspreiden van Warez...

Ga eens naar C:/windows/system32/drivers/etc en kijk eens of hier wat raar spul in staat...

vrijdag 28 oktober 2005 16:14

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op vrijdag 28 oktober 2005 @ 16:09:
Kan ook zijn dat je geroot bent en dat je nu helpt met het verspreiden van Warez...

Ga eens naar C:/windows/system32/drivers/etc en kijk eens of hier wat raar spul in staat...
Ik heb hier gekeken, maar hier staat niets vreemds......

Maar wat ik ook vreemd vindt is de uploadsnelheid...die is zo absurd hoog, dat zou mijn ADSL modem helemaal niet moeten trekken....

vrijdag 28 oktober 2005 16:15

Acties:
  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 31-01 11:11

aZuL2001

Klinkt niet goed.

Doe eens een "netstat -a" op de prompt van de bewuste machine.
Dan weet wat voor verbindingen er openstaan.

Of zet het ethereal log ergens online zodat we dat rustig kunnen bekijken.


Kortom, machine niet vertrouwen en loskoppelen van internet totdat je weet wat er aan de hand is.

Wat voor beveiligings maatregelen had je voordat de machine gek ging doen getroffen ?
Update's ?
Virusscanner ?
Firewall ?
Router ?

En misschien een idee om topic naar beveiliging en virussen forum te laten moven.

Abort, Retry, Quake ???

vrijdag 28 oktober 2005 16:26

Acties:
  • Iet
  • Registratie: Februari 2003
  • Laatst online: 13-08-2025

Iet

Misschien is het een idee om even met Netlimiter te kijken welk proces het doet.

I use a <insert heavy config>."Dude! Solitaire must load like instantly"

vrijdag 28 oktober 2005 16:27

Acties:

Verwijderd

Topicstarter
Geen firewall, geen router, geen antispyware-software, wel alle Microsoft-updates en virusscanner-updates. En wat betreft de Ethereal log......de volgende 10000 regels lijken erg veel op de eerste 6 die ik hierboven gepost heb.

En ik ben maar tweederangs klungelaar op de PC en heb niet veel verstand van dit soort programmaregels.....dus wat netstat -a uitspuugt zegt me ook niet veel.

Ik heb het ingetikt op mijn client PC (die nu even niet 200-400 kB/s upload maar tijdelijk weer even normaal doet), dus of jullie er wat aan hebben ???:

D:\>netstat -a

Active Connections

Proto Local Address Foreign Address State
TCP msi:epmap msi:0 LISTENING
TCP msi:microsoft-ds msi:0 LISTENING
TCP msi:1025 msi:0 LISTENING
TCP msi:1026 msi:0 LISTENING
TCP msi:4899 msi:0 LISTENING
TCP msi:5000 msi:0 LISTENING
TCP msi:5679 msi:0 LISTENING
TCP msi:3005 msi:0 LISTENING
TCP msi:3006 msi:0 LISTENING
TCP msi:3007 msi:0 LISTENING
TCP msi:netbios-ssn msi:0 LISTENING
TCP msi:3153 msi:0 LISTENING
TCP msi:3197 msi:0 LISTENING
TCP msi:3289 msi:0 LISTENING
TCP msi:3543 msi:0 LISTENING
TCP msi:4331 msi:0 LISTENING
TCP msi:4856 msi:0 LISTENING
TCP msi:4956 msi:0 LISTENING
TCP msi:4996 msi:0 LISTENING
UDP msi:microsoft-ds *:*
UDP msi:3039 *:*
UDP msi:3040 *:*
UDP msi:3162 *:*
UDP msi:3163 *:*
UDP msi:3164 *:*
UDP msi:3165 *:*
UDP msi:3166 *:*
UDP msi:3167 *:*
UDP msi:3168 *:*
UDP msi:3169 *:*
UDP msi:3218 *:*
UDP msi:ntp *:*
UDP msi:1900 *:*
UDP msi:3046 *:*
UDP msi:4873 *:*
UDP msi:discard *:*
UDP msi:ntp *:*
UDP msi:netbios-ns *:*
UDP msi:netbios-dgm *:*
UDP msi:1900 *:*

vrijdag 28 oktober 2005 16:28

Acties:

Verwijderd

Topicstarter
Fart schreef op vrijdag 28 oktober 2005 @ 16:26:
Misschien is het een idee om even met Netlimiter te kijken welk proces het doet.
Heb ik ook al geprobeerd, maar Netlimiter ziet niets !
Al mijn andere processen zijn wel zichtbaar, maar deze upload dus net weer niet, vandaar dat ik naar Ethereal ben overgestapt.

zaterdag 29 oktober 2005 10:37

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

tis een doos die in de VS staat in ieder geval.

code:
1
2
3
4
5
6
7
8
9
10

  2    10 ms  82-197-204-1.dsl.cambrium.nl [82.197.204.1]
  3     9 ms  bbned-01.net.cambrium.nl [217.19.16.33]
  4     9 ms  core3.net.cambrium.nl [217.19.16.3]
  5    10 ms  hurricane-electric.nikhef.nl-ix.net [194.153.154.14]
  6    19 ms  pos0-0.gsr12416.lon.he.net [216.66.24.157]
  7    90 ms  pos4-1.gsr12416.nyc.he.net [216.218.200.101]
  8    88 ms  gige-g5-0.br1.nyc2.he.net [216.66.0.2]
  9    93 ms  222.41.66.216.in-addr.arpa [216.66.41.222]
 10   107 ms  edge-02-teb.njiix.net [64.20.32.35]
 11    93 ms  64.20.43.107


ARIN lookup:

http://ws.arin.net/whois/?queryinput=64.20.43.107

Verder kan Ethereal je ook laten zien wat er over die lijn gaat.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 29 oktober 2005 10:40

Acties:
  • FiXeR.nl
  • Registratie: Februari 2005
  • Niet online

FiXeR.nl

sPENKMAN schreef op vrijdag 28 oktober 2005 @ 16:04:
Ik heb er niet veel verstand van, maar het lijkt erop dat je bak meehelpt aan een DDOS aanval?

De aanval richt zich in ieder geval op poort 80, dus goed mogelijk een webserver.

Haal iig maar even je pc van het internet af totdat je zeker bent over waar dit vandaan komt, ik kan er goed naast zitten hoor, maar je kan beter zeker zijn dat je je niet schuldig maakt aan een laffe aanval :)
Dan zijn het wel n00bs, want port 80 hacken heeft dus bijna geen nut... zelfde als port 21!

zaterdag 29 oktober 2005 10:44

Acties:
  • LeonM
  • Registratie: Oktober 2001
  • Laatst online: 29-10-2025

LeonM

FiXeR.nl schreef op zaterdag 29 oktober 2005 @ 10:40:
[...]


Dan zijn het wel n00bs, want port 80 hacken heeft dus bijna geen nut... zelfde als port 21!
Hacken niet, maar DoS'en wel ;)

zaterdag 29 oktober 2005 10:46

Acties:
  • Icey
  • Registratie: November 2001
  • Laatst online: 17-04 15:05

Icey

FiXeR.nl schreef op zaterdag 29 oktober 2005 @ 10:40:
[...]


Dan zijn het wel n00bs, want port 80 hacken heeft dus bijna geen nut... zelfde als port 21!
Denk niet dat 'hacken' het doel is. Denk eerder een server platleggen, en wat is mooier dan een webserver die zijn uiterste best doet om overal op te reageren als doel...

zaterdag 29 oktober 2005 10:59

Acties:
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Je kan toch ook proberen om een Firewall te installeren? Dan vraagt de firewall (hoop ik voor je tenminste) of een bepaald programma het internet op mag en zie je toch ook vanzelf welk programma je hoge upload genereert? :?

zaterdag 29 oktober 2005 13:30

Acties:
  • joopv
  • Registratie: Juli 2003
  • Niet online

joopv

Verwijderd schreef op vrijdag 28 oktober 2005 @ 16:14:
[...]
Ik heb hier gekeken, maar hier staat niets vreemds......

Maar wat ik ook vreemd vindt is de uploadsnelheid...die is zo absurd hoog, dat zou mijn ADSL modem helemaal niet moeten trekken....
Dat maakt niet uit... Tussen je PC en de ADSL modem/router zit een ethernet link, en die trekt 10 of 100Mbit/sec. Dat dat niet over de ADSL lijn kan weet je PC niet. Het ADSL modem dropt domweg alle pakketten die hij niet kwijt kan.

Er worden alleen TCP SYN's uitgezonden met hoog tempo, er is dus geen sprake van een werkelijke 2-weg verbinding met de tegenpartij. Het ziet er inderdaad uit als een DDOS aanval vanuit jouw systeem, maar het kan ook een download manager of iets dergelijks zijn die hoteldebotel is.

zondag 30 oktober 2005 01:08

Acties:

Verwijderd

Kijk eens na c:\RECYCLER oid het kan zijn dat een scriptkiddie je heeft "gehacked" en je pc nu gebruikt voor zijn porn te verspreiden over internet....met 200-400KB/sec heb je iid een interessante connectie voor die mensen......
Pagina: 1
Reageer