[internet] **SYN Flood** attacks - Internet en hosting

zaterdag 29 september 2007 11:01

Acties:

Topicstarter

Sinds enige tijd heb ik continu last van SYN Flood attacks op mijn router en daaraan gekoppelde pc's. Het gevolg is dat ik dan op die pc niet kan internetten. Erg vervelend. Hierbij een klein log van m'n router:

09/29/2007 09:57:12 **SYN Flood** 192.168.2.103, 1581->> 145.139.100.3, 8883 (from ATM1 Outbound)
09/29/2007 09:57:09 **SYN Flood** 192.168.2.103, 1581->> 145.139.100.3, 8883 (from ATM1 Outbound)
09/29/2007 09:56:49 **SYN Flood** 192.168.2.103, 1580->> 145.139.60.2, 8883 (from ATM1 Outbound)
09/29/2007 09:56:10 **SYN Flood** 192.168.2.103, 1576->> 145.139.91.8, 8883 (from ATM1 Outbound)
09/29/2007 09:55:08 **SYN Flood** 192.168.2.103, 1570->> 145.139.38.1, 8883 (from ATM1 Outbound)
09/29/2007 09:54:30 **SYN Flood** 192.168.2.103, 1567->> 145.139.120.230, 8881 (from ATM1 Outbound)
09/29/2007 09:54:27 **SYN Flood** 192.168.2.103, 1567->> 145.139.120.230, 8881 (from ATM1 Outbound)
09/29/2007 09:54:10 **SYN Flood** 192.168.2.103, 1566->> 145.139.120.230, 8881 (from ATM1 Outbound)
09/29/2007 09:54:07 **SYN Flood** 192.168.2.103, 1566->> 145.139.120.230, 8881 (from ATM1 Outbound)
09/29/2007 09:53:48 **SYN Flood** 192.168.2.103, 1564->> 145.139.120.230, 8881 (from ATM1 Outbound)
09/29/2007 09:53:45 **SYN Flood** 192.168.2.103, 1564->> 145.139.120.230, 8881 (from ATM1 Outbound)

Via wikipedia heb ik al enigszins uitgevonden wat het is en wat je er aan zou kunnen doen, maar daar kom ik niet uit...
Kunnen jullie me verder helpen?

STRAVA | Panasonic 5kW J Monoblock

zaterdag 29 september 2007 11:04

Acties:

Fish

How much is the fish

ehm dat komt van je eigen netwerk af ?

wat doet die 192.168.2.103 machien ?

staat daar geen botje op oid ? meestal wel its wat via irc een verbinding heeft lopen

[ Voor 36% gewijzigd door Fish op 29-09-2007 11:06 ]

Iperf

zaterdag 29 september 2007 11:08

Acties:

vandermark

Topicstarter

Ik ga ervan uit dat het niet m'n eigen netwerk is... Ook een andere pc heeft er last van:

09/29/2007 10:00:37 **SYN Flood** 192.168.2.103, 1586->> 32.107.45.11, 80 (from ATM1 Outbound)
09/29/2007 10:00:23 **SYN Flood** 192.168.2.102, 3017->> 216.239.59.103, 80 (from ATM1 Outbound)
09/29/2007 10:00:23 **SYN Flood** 192.168.2.102, 3016->> 64.233.183.164, 80 (from ATM1 Outbound)
09/29/2007 10:00:22 **SYN Flood** 192.168.2.102, 3015->> 209.62.179.57, 80 (from ATM1 Outbound)
09/29/2007 10:00:22 **SYN Flood** 192.168.2.102, 3014->> 213.239.154.35, 80 (from ATM1 Outbound)
09/29/2007 09:59:23 **SYN Flood** 192.168.2.102, 3013->> 66.249.91.83, 443 (from ATM1 Outbound)
09/29/2007 09:58:50 **SYN Flood** 192.168.2.103, 1585->> 66.249.91.17, 80 (from ATM1 Outbound)
09/29/2007 09:58:14 **SYN Flood** 192.168.2.103, 1584->> 145.139.21.2, 8883 (from ATM1 Outbound)
09/29/2007 09:58:11 **SYN Flood** 192.168.2.103, 1584->> 145.139.21.2, 8883 (from ATM1 Outbound)
09/29/2007 09:57:53 **SYN Flood** 192.168.2.103, 1583->> 145.139.160.3, 8883 (from ATM1 Outbound)
09/29/2007 09:57:51 **SYN Flood** 192.168.2.103, 1583->> 145.139.160.3, 8883 (from ATM1 Outbound)

192.168.2.103 is een laptop van m'n werk... **.102 is mijn vaste pc. Mijn router betreft een SMC barricade 7908 Voip router.

STRAVA | Panasonic 5kW J Monoblock

zaterdag 29 september 2007 11:10

Acties:

Zwelgje

vandermark schreef op zaterdag 29 september 2007 @ 11:08:
Ik ga ervan uit dat het niet m'n eigen netwerk is... Ook een andere pc heeft er last van:

09/29/2007 10:00:37 **SYN Flood** 192.168.2.103, 1586->> 32.107.45.11, 80 (from ATM1 Outbound)
09/29/2007 10:00:23 **SYN Flood** 192.168.2.102, 3017->> 216.239.59.103, 80 (from ATM1 Outbound)
09/29/2007 10:00:23 **SYN Flood** 192.168.2.102, 3016->> 64.233.183.164, 80 (from ATM1 Outbound)
09/29/2007 10:00:22 **SYN Flood** 192.168.2.102, 3015->> 209.62.179.57, 80 (from ATM1 Outbound)
09/29/2007 10:00:22 **SYN Flood** 192.168.2.102, 3014->> 213.239.154.35, 80 (from ATM1 Outbound)
09/29/2007 09:59:23 **SYN Flood** 192.168.2.102, 3013->> 66.249.91.83, 443 (from ATM1 Outbound)
09/29/2007 09:58:50 **SYN Flood** 192.168.2.103, 1585->> 66.249.91.17, 80 (from ATM1 Outbound)
09/29/2007 09:58:14 **SYN Flood** 192.168.2.103, 1584->> 145.139.21.2, 8883 (from ATM1 Outbound)
09/29/2007 09:58:11 **SYN Flood** 192.168.2.103, 1584->> 145.139.21.2, 8883 (from ATM1 Outbound)
09/29/2007 09:57:53 **SYN Flood** 192.168.2.103, 1583->> 145.139.160.3, 8883 (from ATM1 Outbound)
09/29/2007 09:57:51 **SYN Flood** 192.168.2.103, 1583->> 145.139.160.3, 8883 (from ATM1 Outbound)

192.168.2.103 is een laptop van m'n werk... **.102 is mijn vaste pc. Mijn router betreft een SMC barricade 7908 Voip router.

source 192.168.2.x >>>destination... hij geeft aan niet voor niks aan 'outbound'

maw: ik zou maar heel snel een virusscanner op die pc's loslaten.

A wise man's life is based around fuck you

zaterdag 29 september 2007 11:14

Acties:

Fish

How much is the fish

tuurlijk het ligt nooooooooooooooooit aan je eigen (netwerk)

get alive, jouw pc staat rotzooi te schoppenop het internet. gewoon nu afkoppelen die 2 bakken
dan zul je zien dat die errors stoppen

Iperf

zaterdag 29 september 2007 11:15

Acties:

Marzman

They'll never get caught.

http://216.239.59.103/ is Google. Ik denk niet dat die jou interesant genoeg vind voor een SYN flood, dus ik zou het ook in een virus zoeken op je eigen pc's

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

zaterdag 29 september 2007 11:17

Acties:

Dennahz

Life feels like hell should.

Misschien is het iemand die jouw WiFi beveiliging wil hacken en allerlei pakketjes stuurt?

Twitter

zaterdag 29 september 2007 11:23

Acties:

Zsub

Ik ben met degene die zegt dat het je eigen PC's zijn

Het ziet er anyway niet echt lekker uit. Doe anders ook eens packetsniffen.

zaterdag 29 september 2007 11:23

Acties:

vandermark

Topicstarter

Bedankt voor de reacties zover, met name die site waarvan het ip-adres google betreft maakt wel duidelijk dat hier de bron zou zijn. Wat ik alleen zo gek vind, is, beide pc's hebben een up-to-date virusscanner.... en firewall

Dennahz schreef op zaterdag 29 september 2007 @ 11:17:
Misschien is het iemand die jouw WiFi beveiliging wil hacken en allerlei pakketjes stuurt?

Kan iemand hier wat meer over vertellen. Is dit een reele optie? Of moet ik toch zoeken naar bots op m'n pc's....

STRAVA | Panasonic 5kW J Monoblock

zaterdag 29 september 2007 11:25

Acties:

Thralas

Dennahz schreef op zaterdag 29 september 2007 @ 11:17:
Misschien is het iemand die jouw WiFi beveiliging wil hacken en allerlei pakketjes stuurt?

Maar met een lading SYN's schiet je niets op, behalve dat je op z'n hoogst de router DoS'ed. Google ligt echt niet wakker om een connection request meer of minder.

Wel vreemd dat je het op twee PCs hebt. Beste manier om dit te debuggen is het loggen van traffic met Wireshark om te zien of er inderdaad echt zo veel SYN's verstuurd worden, of dat het gewoon een halfbrakke router is.

EDIT: Brakke router dus. Zie ook SMC barricade syn flood en in het bijzonder een vergelijkbaar probleem hier. Config tweaken zou het moeten verhelpen (bv. Google Maps maakt veel HTTP requests voor alle images, en je router ziet dat als een aanval)

[ Voor 22% gewijzigd door Thralas op 29-09-2007 11:30 ]

zaterdag 29 september 2007 11:28

Acties:

Fish

How much is the fish

vandermark schreef op zaterdag 29 september 2007 @ 11:23:
Bedankt voor de reacties zover, met name die site waarvan het ip-adres google betreft maakt wel duidelijk dat hier de bron zou zijn. Wat ik alleen zo gek vind, is, beide pc's hebben een up-to-date virusscanner.... en firewall

[...]

Kan iemand hier wat meer over vertellen. Is dit een reele optie? Of moet ik toch zoeken naar bots op m'n pc's....

ja het is reeel maar er is een heeeele makelijk manier .. en dat je je pc loskoppelen en kijken of ze stoppen. als het dan stopt. dan heeft het te maken met jouw pc. of je router heel misschien is brak

Iperf

zaterdag 29 september 2007 11:43

Acties:

vandermark

Topicstarter

Thralas schreef op zaterdag 29 september 2007 @ 11:25:
[...]
EDIT: Brakke router dus. Zie ook SMC barricade syn flood en in het bijzonder een vergelijkbaar probleem hier. Config tweaken zou het moeten verhelpen (bv. Google Maps maakt veel HTTP requests voor alle images, en je router ziet dat als een aanval)

Bedankt, ik kon ook al bijna niet geloven dat en m'n eigen pc en m'n werklaptop (waar ik niks aan kan veranderen) hetzelfde probleem/bot hadden. Ik ga hier even mee verder en laat jullie nog weten wat oplossing is (als ik die vind....)

STRAVA | Panasonic 5kW J Monoblock

zaterdag 29 september 2007 12:38

Acties:

vandermark

Topicstarter

Thralas schreef op zaterdag 29 september 2007 @ 11:25:
[...]
EDIT: Brakke router dus. Zie ook SMC barricade syn flood en in het bijzonder een vergelijkbaar probleem hier. Config tweaken zou het moeten verhelpen (bv. Google Maps maakt veel HTTP requests voor alle images, en je router ziet dat als een aanval)

Ik heb m'n router gereset en de syn floods zijn sindsdien uit m'n log verdwenen. m'n router had al de goede config, vergeleken met de links hierboven.

Bedankt allemaal voor de reply's

STRAVA | Panasonic 5kW J Monoblock

zaterdag 29 september 2007 12:39

Acties:

Lekkere Loempia

vandermark schreef op zaterdag 29 september 2007 @ 11:43:
[...]

Bedankt, ik kon ook al bijna niet geloven dat en m'n eigen pc en m'n werklaptop (waar ik niks aan kan veranderen) hetzelfde probleem/bot hadden. Ik ga hier even mee verder en laat jullie nog weten wat oplossing is (als ik die vind....)

Lijkt me sowieso een firmware upgrade waard. Te vinden op de SMC downloadpagina.

Pagina: 1

Reageer