Sommige websites erg traag (vooral Google) - Netwerken

dinsdag 24 februari 2009 20:34

Acties:

web-con.nl

Topicstarter

Ik heb sinds een paar weken een vreemd probleem. Sommige websites zijn erg traag of openen geheel niet.
Het begint er meestal mee dat ik gewoon normaal kan internetten, en opeens opent de website niet meer. Ik merk meestal dat het misgaat bij Google of Google images (vervolgens ook bij Live, Live Images).

De website is dan meestal een minuut of 5 niet bruikbaar, waarna het meestal weer 1 request werkt en vervolgens weer alles hangt.

De situatie is een thuisnetwerk met een Experiabox (Siemens) met 1 ImacG4, een HP met XPSP2 en een macbook pro op wireless. Verder ligt er nog een netgear switch met een Lacie internet space schijf.

Ik heb nu alles van het netwerk eruit getrokken en alleen mijn MBP bedraad aangesloten en het problem doet zich nog steeds voor.

Nu heb ik in de logs gekeken van de router, en daar komt het volgende uit:
02/24/2009 20:16:22 **TCP FIN Scan** 192.168.2.2, 60629->> 74.125.79.157, 80 (from ATM1 Outbound)
of: SYN Flood to Host

Nu heb ik daar al op gegoogled (voor zover dat lukt

), en daar word ik in die zin wat wijzer van, dat de flood-host een soort ddos-attack is (al dan niet van mij binnenuit), en een FIN scan, die waarschijnlijk van buitenuit gebeurt. Nu heb ik niet zoveel verstand van netwerken en al die terminologie, maar ergens krijg ik het idee dat dit wel de kern van het probleem is.

Nu heb ik een artikel gevonden voor de FINscan: http://www.vtek.nl/experi...in-scan_algemeen_146.html, maar de security van de firewall omlaagschroeven lijkt me nou juist niet de oplossing.
Verder heb ik ook ook op de SYN flood-melding gevonden dat dit niet echt jofel is(bijv.): http://www.ipbforum.nl/ex...ic.php?f=6&t=1409&start=0

Verder heb ik ook alle port-forwardings uitgezet, omdat dat ook nog in een ander artikel naar voren kwam, maar helaas heeft niets van dit alles tot enig resultaat geleid.

Ik begin nu dus langzaam de moed een beetje te verliezen, maar heb het idee dat het probleem niet echt software-gerelateerd is, maar meer een probleem in het netwerk/router is...

Heeft iemand misschien nog een briljant idee?

Innovation beyond Imagination

dinsdag 24 februari 2009 22:12

Acties:

nielsl

probeer stapsgewijs uit te sluiten waar het probleem aan zou kunnen liggen. Sluit bijvoorbeeld je pc direct aan op je modem en kijk of je dan nog steeds dergelijke problemen ondervindt. If not, dan kun je er vrij zeker vanuit gaan dat het je router is, if not, dan ligt je probleem ergens anders. Kijk in dat geval eens naar je virusscanner of de firewall op je pc.

woensdag 25 februari 2009 10:12

Acties:

web-hawk

web-con.nl

Topicstarter

Dat had ik dus al geprobeerd door alles eruit te trekken, behalve mn macbook....
En daar draait geen virusscanner of firewall op. Dan zou het alleen de firewall in de router kunnen zijn (en dat is volgens mij ook gewoon waar het probleem zit). Alleen ik kan nergens uit opmaken WAT het probleem is waardoor de firewall mijn verbinding blockt.

Ik kan proberen of het probleem is opgelost als ik de firewall uitzet, maar dat doe ik op dit moment dus juist liever niet

Dat ding loopt niet voor niks zaken te blocken natuurlijk

Innovation beyond Imagination

woensdag 25 februari 2009 13:28

Acties:

Keypunchie

Tsja, als ik dat zo lees, ligt het toch echt aan die Experia-box (ik neem ff aan dat dat je router ook is..). Die markeert jouw standaard TCP/IP-sessie aan als een flood-aanval...

Alsi ik dat eerste regeltje zo lees probeer je namelijk niets anders dan verbinding te maken vanaf je Macbook naar Google over poort 80, en zegt je Box/Router "Heej, 192.168.2.2 doet een FIN-flood-aanval" (paniek!).

Dat ding loopt niet voor niks zaken te blocken natuurlijk

Op zich zou ik me zelf niet te veel zorgen maken om de 'outbound' security iets omlaag te schroeven (als dat een optie is in de router). Daar heb je tenslotte uiteindelijk alleen wat aan, wanneer het al te laat is (lokale systemen zijn besmet). Het belangrijkste van een Firewall (en wat de Windows en Mac ingebouwde firewalls eigenlijk ook alleen maar doen) is om ongewenst verkeer van buitenaf te weren. In dit geval lijk je zelfs hinder te hebben omdat hij wel degelijk onterecht verkeer van binnenuit aan 't blocken is.

Een modem/router is per definitie al een 'binnenkomende' firewall. Immers, om unsollicited verkeer door te sturen naar andere apparaten zul je poort-mappings moeten gaan instellen. Al het andere unsollicited verkeer wordt gedropped. Die veiligheid is inherent aan de techniek van NAT (1-ipadres voor de internet-connectiviteit van je complete lokale netwerkje)

Voor de zekerheid is het wel zo handig om ondanks dat, wel degelijk op je Windows/Mac de lokale firewall te laten draaien. Voor het geval er eens een apparaat in je lokale netwerk komt dat een worm of andere bedreiging onder de leden heeft. Onder Leopard staat deze trouwens standaard uit. Zet hem aan onder System Preferences -> Security (rijtje Personal) -> Firewall (tabje), kun je hem vinden. Als je hem op de status "Set access for specific services and applications" zet, krijg je mettertijd wat pop-ups voor je Instant Messenger enzo om die te accepteren.

woensdag 25 februari 2009 14:50

Acties:

web-hawk

web-con.nl

Topicstarter

dankjewel voor de heldere uitleg! Dat helpt wel om het probleem wat beter te begrijpen. Ik ga gewoon vanavond proberen om de security van de modem/router wat omlaag te schroeven om te kijken of het daaraan ligt.

Wat dan nog steeds openstaat, is waarom het dan nu ineens misgaat (naar mijn weten is er niet veranderd aan de security van de router en/of wormen/virussen op mijn netwerk). Dan zal ik inderdaad de lokale firewalls op de computers ook aanzetten en wat scans uitvoeren om te kijken of er misschien ergens een infectie is...

keep you posted

Innovation beyond Imagination

donderdag 26 februari 2009 12:24

Acties:

web-hawk

web-con.nl

Topicstarter

Gisteren de beveiliging van de firewall in de router omlaaggeschroefd en nu lijkt alles inderdaad weer gewoon te werken. Ik kijk het eventjes aan en probeer de beveiliging gewoon langzaam weer omhoog te schroeven.

Blijft toch vreemd dat de google-images voor dit probleem lijkt te zorgen

Innovation beyond Imagination

dinsdag 14 juli 2009 11:14

Acties:

lolcode

Misschien een wat late reactie, maar ik zit met EXACT dit probleem.
We hebben op een gegeven moment een IPB-abo genomen, hierbij werd onze Speedtoch router vervangen door de Experiabox (Siemens).
In de ovegangstijd hadden we al WEL het snelle internet maar nog NIET de Experiabox aangesloten en alles werkte perfect. Vanaf het moment dat we de Experiabox aansloten begonnen de problemen:
-Sites die niet werken / heeeeel langzaam zijn (vooral Google/Google Images)
-Insane veel TCP FIN Scan's en af en toe een SYN Flood to Host (beide Outbound).
-Er staan ook een paar Inbound dingen in maar dat zijn er niet erg veel (oftewel gewoon de bots).

Ik houdt de logs nu al een tijdje in de gaten: meer dan 90% van de TCP fin scans afkomstig van mijn IP zijn gericht aan een adres van Google. En elke keer als dat gebeurt kan ik Google een paar minuten niet bereiken.
We zitten hier op de EB met 3 Vista laptops, een telefoon en mijn eigen Vista/Linux combi. Alleen de laatste heeft een vast IP (via MAC-adres).
Van de andere 3 PC's komen vooral Outbounds naar Level3, RIPE en natuurlijk Google.

Nou zei de TS dat-ie de beveiliging omlaag heeft gedaan, maar hoeveel heeft dit geholpen? In de tussentijd geen virussen e.d. opgelopen? Valt vooral Google Images nu ineens niet meer random weg? Staan er nu veel minder meldingen in de logfile?
Ik hoor het graag van je, want eigenlijk wil ik wel weer eens normaal kunnen internetten...