Zyxel Modem/Router: "syn flood TCP ATTACK".

Allereerst maak je geen zorgen, je wordt niet aangevallen

Je hebt je firewall wat extra dingen laten loggen en wat er gebeurt is het volgende:

Allemaal mensen proberen een TCP sessie naar jou op te zetten, zo te zien omdat je een torrent hebt aan staan of deze had aanstaan. Deze verbindingen komen niet volledig tot stand om een reden (mogelijk teveel tegelijk of torrent applicatie afgesloten etc) en dan ontvang je meerdere TCP SYN pakketjes om dit op te bouwen.

Je modem (firewall) registreert deze dan als 'attack' doordat hier vroeger veel DOS attacks mee werden uitgevoerd. Dan werden meerdere TCP SYN pakketjes uitgestuurd om zodoende een (web)server plat te leggen.

Hier gaat het niet om een attack maar werkelijke TCP sessies die getracht worden om op te bouwen en die slagen alleen niet.

De uitgaande waar jouw PC dit veroorzaakt kan komen doordat je een website opvraagt waarop 10 plaatjes staan waarvan de server niet reageert. Jouw PC gaat dan een TCP sessie proberen op te bouwen met die server en stuurt daarom een TCP SYN, bij geen reactie probeert hij het nog eens en nog eens. Je firewall registreert dat als een 'attack' omdat deze niet kan zien of het bedoeld of onbedoeld is.

Advies: Zet die logging uit, firewalls vinden alles wat kwaadaardig zou kunnen zijn een 'attack' en wekt alleen maar onnodige frustratie op.

[ Voor 5% gewijzigd door bjck op 23-07-2009 14:05 ]

ApexAlpha schreef op donderdag 23 juli 2009 @ 14:13:
Ok, dat is al een stuk gerustellender.

Maar:
1) Ik gebruik geen torrents, nooit.
2) Mijn router herstart zich soms automatisch en als ik dan in de logs kijk zie ik zulke tcp/udp gelogd staan.
3) Mijn internet valt ook vaker weg voor 10 seconde, en als ik dan terugkijk staan er ook nieuwe gebeurtenissen geregistreert in de log files.

Ik ging er dus logischerwijs(volgens mezelf dan) vanuit dat deze relateerd waren en dat deze 'ATTACKS' volgens de router ervoor zorgden dat mijn router zich soms reset / even wegvalt.

Het wegvallen van internet kan 10tallen oorzaken hebben, los dat op met de ISP helpdesk sowieso. Dat kan wel een van de redenen zijn dat je deze in je logs ziet, als je verbinding even weg is probeert je browser elke keer toch die verbinding op te bouwen immers.

Inkomend kan het bijvoorbeeld torrent zijn, maar ook een ander type server dat je draait of een online game dat je speelt etc. Iets waarvoor mensen naar jou toe willen of moeten verbinden. En er staan natuurlijk ook scans tussen, er zijn tal van verschillende virussen en trojan geinfecteerde PC's die overal naartoe trachten verbinding te leggen om te proberen binnen te komen.

Daar helemaal geen zorgen om maken omdat die allemaal nergens komen door je firewall al en al helemaal niet bij een van je PC's komen omdat je dan een port forward aangemaakt moet hebben voor dat poort nummer ook nog naar die PC.

Het kan ook je playstation 2 zijn.
Als mijn zoon online gaat battlefielden (2, Modern Combat) dan geeft dat ook de nodige meldingen.
Kan dus verschillende dingen zijn.
(on) terecht geeft de zyxel aan dat je wordt bestookt of dat je aan het stoken bent.
Maak je niet druk. Heb ik ook al gedaan en dat was dus onterecht.

Als je Ziggo hebt, en deze problemen zijn ontstaan na de snelheids update, then Join the Club.
Anders is het inderdaad verstandig eerst met je ISP contact op te nemen en te controleren of het probleem niet daar ontstaat.