Toon posts:

Syn Flood

Pagina: 1
Acties:

woensdag 3 december 2008 22:24

Acties:
  • Murk
  • Registratie: Februari 2007
  • Laatst online: 07:30

Murk

Is this thing on?

Topicstarter
Mijn internetverbinding was erg traag, vooral bij het spelen van online spellen was de vertraging merkbaar. En net deed ik een capture met Wireshark en blijkt dat ik doelwit ben van een zogeheten SYN flood. Ik heb geen idee wat ik hier tegen moet doen, computer opnieuw opgestart en helpt niet, het blijft doorgaan. Heb How to harden the TCP/IP stack against denial of service attacks in Windows 2000 geprobeerd, SynAttackProtect op 2 gezet, opnieuw opgestart maar nog steeds SYN's all over the place.

Heb deze site gevonden maar ik weet niet hoe ik verder moet :$

OS is windows XP SP3.

"There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors."

woensdag 3 december 2008 22:26

Acties:
  • LuckY
  • Registratie: December 2007
  • Niet online

LuckY

Murk schreef op woensdag 03 december 2008 @ 22:24:
Mijn internetverbinding was erg traag, vooral bij het spelen van online spellen was de vertraging merkbaar. En net deed ik een capture met Wireshark en blijkt dat ik doelwit ben van een zogeheten SYN flood. Ik heb geen idee wat ik hier tegen moet doen, computer opnieuw opgestart en helpt niet, het blijft doorgaan. Heb How to harden the TCP/IP stack against denial of service attacks in Windows 2000 geprobeerd, SynAttackProtect op 2 gezet, opnieuw opgestart maar nog steeds SYN's all over the place.

Heb deze site gevonden maar ik weet niet hoe ik verder moet :$

OS is windows XP SP3.
Ipconfig /release
ipconfig /renew
zodat je een nieuw ip krijgt dus geen synfloods?
of heb je een statisch IP

woensdag 3 december 2008 22:28

Acties:
  • Murk
  • Registratie: Februari 2007
  • Laatst online: 07:30

Murk

Is this thing on?

Topicstarter
Nee een dynamisch IP

release-renew helpt niet :(

Ik snap ook niet hoe ik hier aan kom, ik was wel torrents aan het downloaden zou ik het daardoor gekregen kunnen hebben? (heb hem nu uiteraard uitgezet)

[ Voor 8% gewijzigd door Murk op 03-12-2008 22:29 ]

"There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors."

woensdag 3 december 2008 22:32

Acties:
  • LuckY
  • Registratie: December 2007
  • Niet online

LuckY

zit je direct aan het internet?

woensdag 3 december 2008 22:33

Acties:
  • Murk
  • Registratie: Februari 2007
  • Laatst online: 07:30

Murk

Is this thing on?

Topicstarter
Verbonden via een Netgear router.

"There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors."

woensdag 3 december 2008 22:33

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Murk schreef op woensdag 03 december 2008 @ 22:28:
Nee een dynamisch IP

release-renew helpt niet :(

Ik snap ook niet hoe ik hier aan kom, ik was wel torrents aan het downloaden zou ik het daardoor gekregen kunnen hebben? (heb hem nu uiteraard uitgezet)
Daar kan het inderdaad in zitten. Torrents willen een connectie naar jou openen (SYN), en die willen dat heel vaak. Wireshark kan dat inderdaad zien als een SYN flood, ofwel DDoS aanval. Als het van heel veel IP;s komt zou ik me niet al te druk maken, de kans is klein dat men een thuispc gaat DDoSsen. Als het van 1 ip komt moet je proberen te achterhalen waar dat vandaan komt.

Vicariously I live while the whole world dies

woensdag 3 december 2008 22:36

Acties:
  • Murk
  • Registratie: Februari 2007
  • Laatst online: 07:30

Murk

Is this thing on?

Topicstarter
Het is van veel verschillende IP's ja.

Maar in een bepaalde online shooter heb ik last van packet loss (bepaalde dingen vallen weg zoals geluiden en schoten) en bij een online MMO moet ik tussen elke handeling soms een paar seconden wachten voordat er iets gebeurt (continu) dus dit kan zo niet blijven

Ik bedenk me net dat dit een tijdje geleden ook gebeurde (de symptomen bij de online spellen) maar toen wijtte ik het aan de spellen zelf, vervolgens 1/2 dagen lang de computer niet gebruikt en was het voorbij.. dus misschien is het een teken dat ik maar beter vroeg me bed in kan duiken? :/

[ Voor 34% gewijzigd door Murk op 03-12-2008 22:38 ]

"There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors."

woensdag 3 december 2008 22:36

Acties:
  • Mr.Qips
  • Registratie: Juli 2005
  • Laatst online: 08-03 21:47

Mr.Qips

Dat is een side-effect van torrenten. Ik heb er zelf ook vaak last van. Meestal trekt mn router het niet en loopt de boel vast. Na een dagje is het grotendeels over, na een week helemaal. Toch vind ik het niet zó vervelend...

Edit: je zou je router dus even opnieuw kunnen opstarten (waarschijnlijk trekt die van jou het ook niet). Om dit probleem te voorkomen, kan je het aantal connecties in je torrentprogramma omlaag schroeven. Niet dat je dan minder SYN-aanvragen krijgt, maar je router blijft dan stabieler.

[ Voor 39% gewijzigd door Mr.Qips op 03-12-2008 22:37 ]

woensdag 3 december 2008 22:37

Acties:
  • CoolGamer
  • Registratie: Mei 2005
  • Laatst online: 08-03 16:43

CoolGamer

What is it? Dragons?

Komt al het verkeer binnen op dezelfde poort, dan is het zeker zoals als hierboven beschreven. De andere poorten zullen waarschijnlijk door je router worden tegengehouden. Maar ik kan me niet echt voorstellen dat je verbinding erg vertraagd. Hoe veel SYNS komen er binnen in een bepaalde tijd? Is het niet iets anders wat je verbinding zou kunnen vertragen.

¸.·´¯`·.¸.·´¯`·.¸><(((º>¸.·´¯`·.¸><(((º>¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸<º)))><¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸

woensdag 3 december 2008 22:45

Acties:
  • Murk
  • Registratie: Februari 2007
  • Laatst online: 07:30

Murk

Is this thing on?

Topicstarter
Het komt door allerlei poorten binnen (als ik het goed lees wat wireshark mij vertelt)
Edit: nee het is toch 1 poort zie ik nu.. in wireshark staat in elke regel van de SYN flood het volgende "xxxxx > 52867 [SYN] [...]" waarbij xxxxx telkens een ander getal is.

heb een .pcap bestand opgeslagen en kan hier gedownload worden, mocht iemand hier wat aan hebben ter analyse. http://rapidshare.com/files/169976329/syn_flood.pcap

Router resetten kan ik proberen, eerst een back-up maken van de instellingen.

[ Voor 35% gewijzigd door Murk op 03-12-2008 23:04 ]

"There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors."

woensdag 3 december 2008 22:54

Acties:
  • Mr.Qips
  • Registratie: Juli 2005
  • Laatst online: 08-03 21:47

Mr.Qips

Iedereen heeft z'n torrents op een andere port staan, die van jou is blijkbaar 52867. Vandaar dat er van random porten naar 52867 geconnect wordt.

Je hoeft je router niet te resetten; alleen opnieuw op te starten. Zie het als je pc, die je opnieuw kan opstarten, als hij (gedeeltelijk) is vastgelopen.

woensdag 3 december 2008 23:00

Acties:
  • CoolGamer
  • Registratie: Mei 2005
  • Laatst online: 08-03 16:43

CoolGamer

What is it? Dragons?

De hoeveelheid pakketjes die binnenkomen lijken niet te wijzen op een flood, dus dit vertraagd je verbinding niet significant. Je router ressetten zou kunnen helpen.

¸.·´¯`·.¸.·´¯`·.¸><(((º>¸.·´¯`·.¸><(((º>¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸<º)))><¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸

woensdag 3 december 2008 23:01

Acties:
  • Murk
  • Registratie: Februari 2007
  • Laatst online: 07:30

Murk

Is this thing on?

Topicstarter
Ok, ik heb de router uit het stopcontact gehaald en weer er in gedaan. Toen vol spanning naar Wireshark gekeken, er werd een heleboel over en weer verstuurd waar ik af en toe wat van herkende (1e jaars informatica broekie)... en geen SYN attacks meer :).

Leuke is dat ik normaliter ook de router eruit getrokken had en daarna weer erin gedaan en dat het dan gefixed was, maar dan had ik niet geweten wat nou de oorzaak was. Nu weet ik dat wel (althans, voor een deel). Bedankt voor de hulp :).

Ik vraag me nog wel af of jullie hier nooit last van hebben?

[ Voor 6% gewijzigd door Murk op 03-12-2008 23:03 ]

"There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors."

woensdag 3 december 2008 23:07

Acties:
  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 11-01 23:32

Nvidiot

notepad!

Bij torrents kom je in de lijst te staan op de tracker als een client waarvandaan anderen delen kunnen downloaden. Het resultaat hiervan is (zeker bij de populaire torrents) een groot aantal SYNs. Het duurt even als je de torrents afsluit voordat je van het lijstje afbent bij de tracker(s), dus zet je torrent programma uit en wacht een tijdje. Een andere optie is het resetten van de router zodat je met wat geluk een nieuw IP krijgt.

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

woensdag 3 december 2008 23:11

Acties:
  • CoolGamer
  • Registratie: Mei 2005
  • Laatst online: 08-03 16:43

CoolGamer

What is it? Dragons?

Mijn logboek van mijn router slipt altijd vol met geweigerde pakketten, maar om dit gelijk een SYN-attack te noemen is een beetje overbodig. Bij een aanval op die manier komen er veel meer pakketten in een bepaalde tijd dan ik bij jouw in je log heb kunnen zien. Dus een echte aanval heb je niet gehad, maar dat een redelijk aantal verbindingen geweigerd worden is gewoon. Niks om je druk om te maken.

¸.·´¯`·.¸.·´¯`·.¸><(((º>¸.·´¯`·.¸><(((º>¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸<º)))><¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq