Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Syn flood, IP spoofing in modem log

Pagina: 1
Acties:

woensdag 15 december 2010 12:40

Acties:

Verwijderd

Topicstarter
Ik heb een ADSL lijn die van een Zyxel P-2602R-D1A naar een Sweex LW055 Router loopt die als switch fungeert naar twee computers (Win 7 = 192.168.1.33 en Win Vista = 192.168.1.34, Sweex Router = 192.168.55.1). Op 192.168.1.34 draait Utorrent. De IP's met XX.XX aan het eind zijn mijn externe IP.

In de modem logs tref ik onderstaande medingen aan. Iemand enig idee wat hiet de oorzaak van kan zijn?

1 12/15/2010 12:11:51 syn flood TCP 192.168.1.33:59997 192.168.55.1:80 ATTACK
2 12/15/2010 12:11:30 syn flood TCP 192.168.1.34:63143 192.168.55.1:80 ATTACK
3 12/15/2010 12:11:27 syn flood TCP 192.168.1.33:59986 192.168.55.1:80 ATTACK
4 12/15/2010 11:34:00 syn flood TCP 192.168.1.33:57234 192.168.55.1:80 ATTACK
5 12/15/2010 11:33:28 syn flood TCP 192.168.1.34:62378 192.168.55.1:80 ATTACK
6 12/15/2010 11:32:55 syn flood TCP 192.168.1.34:62366 192.168.55.1:80 ATTACK
7 12/15/2010 11:32:23 syn flood TCP 192.168.1.34:62356 192.168.55.1:80 ATTACK
8 12/15/2010 11:31:57 syn flood TCP 192.168.1.34:62348 192.168.55.1:80 ATTACK
9 12/15/2010 11:31:48 syn flood TCP 192.168.1.33:57198 192.168.55.1:80 ATTACK
10 12/15/2010 11:31:25 syn flood TCP 192.168.1.34:62338 192.168.55.1:80 ATTACK
11 12/15/2010 11:31:16 syn flood TCP 192.168.1.33:57193 192.168.55.1:80 ATTACK
12 12/15/2010 11:30:47 syn flood TCP 192.168.1.34:62330 192.168.55.1:80 ATTACK
13 12/15/2010 11:27:08 syn flood TCP 192.168.1.34:62261 192.168.55.1:80 ATTACK
14 12/15/2010 11:27:00 syn flood TCP 192.168.1.33:57139 192.168.55.1:80 ATTACK
15 12/15/2010 11:26:51 syn flood TCP 192.168.1.33:57137 192.168.55.1:80 ATTACK
16 12/15/2010 11:14:43 syn flood TCP 192.168.1.34:61972 192.168.55.1:80 ATTACK
17 12/15/2010 11:13:06 syn flood TCP 192.168.1.34:61939 192.168.55.1:80 ATTACK
18 12/15/2010 11:12:34 syn flood TCP 192.168.1.33:56965 192.168.55.1:80 ATTACK
19 12/15/2010 11:12:08 syn flood TCP 192.168.1.34:61910 192.168.55.1:80 ATTACK
20 12/15/2010 11:11:59 syn flood TCP 192.168.1.33:56960 192.168.55.1:80 ATTACK
21 12/15/2010 11:11:36 syn flood TCP 192.168.1.34:61900 192.168.55.1:80 ATTACK
22 12/15/2010 11:11:27 syn flood TCP 192.168.1.33:56950 192.168.55.1:80 ATTACK
23 12/15/2010 11:10:58 syn flood TCP 192.168.1.33:56946 192.168.55.1:80 ATTACK
24 12/15/2010 11:10:26 syn flood TCP 192.168.1.34:61889 192.168.55.1:80 ATTACK
25 12/15/2010 11:09:21 syn flood TCP 192.168.1.34:61875 192.168.55.1:80 ATTACK
26 12/15/2010 11:08:49 syn flood TCP 192.168.1.34:61866 192.168.55.1:80 ATTACK
27 12/15/2010 11:08:17 syn flood TCP 192.168.1.34:61862 192.168.55.1:80 ATTACK
28 12/15/2010 11:07:45 syn flood TCP 192.168.1.34:61856 192.168.55.1:80 ATTACK
29 12/15/2010 11:07:19 syn flood TCP 192.168.1.33:56914 192.168.55.1:80 ATTACK
30 12/15/2010 11:07:10 syn flood TCP 192.168.1.33:56914 192.168.55.1:80 ATTACK
31 12/15/2010 11:06:47 syn flood TCP 192.168.1.34:61836 192.168.55.1:80 ATTACK
32 12/15/2010 11:06:38 syn flood TCP 192.168.1.33:56911 192.168.55.1:80 ATTACK
33 12/15/2010 11:06:29 syn flood TCP 192.168.1.33:56909 192.168.55.1:80 ATTACK
34 12/15/2010 10:59:40 syn flood TCP 192.168.1.33:56840 192.168.55.1:80 ATTACK
35 12/15/2010 10:59:08 syn flood TCP 192.168.1.33:56831 192.168.55.1:80 ATTACK
36 12/15/2010 10:59:00 syn flood TCP 192.168.1.33:56829 192.168.55.1:80 ATTACK
37 12/15/2010 10:36:42 syn flood TCP 192.168.1.34:61028 192.168.55.1:80 ATTACK
38 12/15/2010 10:33:03 syn flood TCP 192.168.1.34:60968 192.168.55.1:80 ATTACK
39 12/15/2010 10:32:54 syn flood TCP 192.168.1.33:53692 192.168.55.1:80 ATTACK
40 12/15/2010 10:32:25 syn flood TCP 192.168.1.34:60960 192.168.55.1:80 ATTACK
41 12/15/2010 10:32:22 syn flood TCP 192.168.1.33:53676 192.168.55.1:80 ATTACK
42 12/15/2010 10:31:59 syn flood TCP 192.168.1.33:53668 192.168.55.1:80 ATTACK
43 12/15/2010 10:31:50 syn flood TCP 192.168.1.33:53668 192.168.55.1:80 ATTACK
44 12/15/2010 10:31:42 syn flood TCP 192.168.1.33:53666 192.168.55.1:80 ATTACK
45 12/15/2010 10:31:21 syn flood TCP 192.168.1.33:53665 192.168.55.1:80 ATTACK
46 12/15/2010 10:31:18 syn flood TCP 192.168.1.34:60932 192.168.55.1:80 ATTACK
47 12/15/2010 10:31:10 syn flood TCP 192.168.1.33:53661 192.168.55.1:80 ATTACK
48 12/15/2010 10:10:28 syn flood TCP 192.168.1.34:60402 192.168.55.1:80 ATTACK
49 12/15/2010 09:32:04 syn flood TCP 192.168.1.34:59009 192.168.55.1:80 ATTACK
50 12/15/2010 09:31:55 syn flood TCP 192.168.1.33:51858 192.168.55.1:80 ATTACK
51 12/15/2010 09:30:27 syn flood TCP 192.168.1.34:58897 192.168.55.1:80 ATTACK
52 12/15/2010 09:30:18 syn flood TCP 192.168.1.33:51846 192.168.55.1:80 ATTACK
53 12/15/2010 09:29:14 syn flood TCP 192.168.1.33:51797 192.168.55.1:80 ATTACK
54 12/15/2010 09:29:06 syn flood TCP 192.168.1.33:51795 192.168.55.1:80 ATTACK
55 12/15/2010 07:58:45 syn flood TCP 192.168.1.33:50119 192.168.55.1:80 ATTACK
56 12/15/2010 07:53:56 syn flood TCP 192.168.1.33:50040 192.168.55.1:80 ATTACK
57 12/15/2010 07:53:48 syn flood TCP 192.168.1.33:50038 192.168.55.1:80 ATTACK
58 12/15/2010 07:53:27 syn flood TCP 192.168.1.34:53988 192.168.55.1:80 ATTACK
59 12/15/2010 07:23:26 syn flood TCP 192.168.1.33:49502 192.168.55.1:80 ATTACK
60 12/15/2010 07:23:18 syn flood TCP 192.168.1.33:49500 192.168.55.1:80 ATTACK
61 12/15/2010 07:22:13 syn flood TCP 192.168.1.33:49486 192.168.55.1:80 ATTACK
62 12/15/2010 06:49:34 ip spoofing - WAN TCP 192.168.1.3:38945 195.241.1XX.XX:59251 ATTACK
63 12/15/2010 06:49:31 ip spoofing - WAN TCP 192.168.1.3:38945 195.241.1XX.XX:59251 ATTACK
64 12/15/2010 06:29:08 ip spoofing - WAN TCP 192.168.1.3:52440 195.241.1XX.XX:59251 ATTACK
65 12/15/2010 06:28:46 ip spoofing - WAN TCP 192.168.1.3:43096 195.241.1XX.XX:59251 ATTACK
66 12/15/2010 06:06:57 syn flood TCP 192.168.1.33:64511 192.168.55.1:80 ATTACK
67 12/15/2010 06:05:30 syn flood TCP 192.168.1.34:65451 192.168.55.1:80 ATTACK
68 12/15/2010 06:05:21 syn flood TCP 192.168.1.33:64498 192.168.55.1:80 ATTACK
69 12/15/2010 05:58:10 ip spoofing - WAN TCP 192.168.1.3:41534 195.241.1XX.XX:59251 ATTACK
70 12/15/2010 05:58:04 ip spoofing - WAN TCP 192.168.1.3:41534 195.241.1XX.XX:59251 ATTACK
71 12/15/2010 05:57:55 ip spoofing - WAN TCP 192.168.1.3:46458 195.241.1XX.XX:59251 ATTACK
72 12/15/2010 05:57:52 ip spoofing - WAN TCP 192.168.1.3:46458 195.241.1XX.XX:59251 ATTACK
73 12/15/2010 05:51:30 syn flood TCP 192.168.1.33:64254 192.168.55.1:80 ATTACK
74 12/15/2010 05:51:27 syn flood TCP 192.168.1.34:64675 192.168.55.1:80 ATTACK
75 12/15/2010 05:51:19 syn flood TCP 192.168.1.33:64252 192.168.55.1:80 ATTACK
76 12/15/2010 05:42:24 syn flood TCP 192.168.1.34:64263 192.168.55.1:80 ATTACK
77 12/15/2010 05:40:16 syn flood TCP 192.168.1.34:64205 192.168.55.1:80 ATTACK
78 12/15/2010 05:40:13 syn flood TCP 192.168.1.33:64057 192.168.55.1:80 ATTACK
79 12/15/2010 05:34:59 ip spoofing - WAN TCP 192.168.1.3:46898 195.241.1XX.XX:59251 ATTACK
80 12/15/2010 05:34:56 ip spoofing - WAN TCP 192.168.1.3:46898 195.241.1XX.XX:59251 ATTACK
81 12/15/2010 05:34:38 ip spoofing - WAN TCP 192.168.1.3:46328 195.241.1XX.XX:59251 ATTACK
82 12/15/2010 05:28:26 syn flood TCP 192.168.1.33:63824 192.168.55.1:80 ATTACK
83 12/15/2010 05:28:03 syn flood TCP 192.168.1.34:63588 192.168.55.1:80 ATTACK
84 12/15/2010 05:27:54 syn flood TCP 192.168.1.33:63819 192.168.55.1:80 ATTACK
85 12/15/2010 05:27:46 syn flood TCP 192.168.1.33:63817 192.168.55.1:80 ATTACK
86 12/15/2010 05:04:48 ip spoofing - WAN TCP 192.168.1.3:37940 195.241.1XX.XX:59251 ATTACK
87 12/15/2010 05:04:36 ip spoofing - WAN TCP 192.168.1.3:47944 195.241.1XX.XX:59251 ATTACK
88 12/15/2010 05:04:30 ip spoofing - WAN TCP 192.168.1.3:47944 195.241.1XX.XX:59251 ATTACK
89 12/15/2010 05:04:26 ip spoofing - WAN TCP 192.168.1.3:47944 195.241.1XX.XX:59251 ATTACK
90 12/15/2010 05:04:11 ip spoofing - WAN TCP 192.168.1.3:38534 195.241.1XX.XX:59251 ATTACK
91 12/15/2010 05:04:09 ip spoofing - WAN TCP 192.168.1.3:38534 195.241.1XX.XX:59251 ATTACK
92 12/15/2010 03:36:39 syn flood TCP 192.168.1.33:61868 192.168.55.1:80 ATTACK
93 12/15/2010 02:30:56 syn flood TCP 192.168.1.34:54960 192.168.55.1:80 ATTACK
94 12/15/2010 02:30:47 syn flood TCP 192.168.1.33:60715 192.168.55.1:80 ATTACK
95 12/15/2010 02:30:18 syn flood TCP 192.168.1.34:54945 192.168.55.1:80 ATTACK
96 12/15/2010 02:30:15 syn flood TCP 192.168.1.33:60710 192.168.55.1:80 ATTACK
97 12/15/2010 02:29:51 syn flood TCP 192.168.1.34:54934 192.168.55.1:80 ATTACK
98 12/15/2010 02:29:42 syn flood TCP 192.168.1.33:60706 192.168.55.1:80 ATTACK
99 12/15/2010 02:29:34 syn flood TCP 192.168.1.33:60702 192.168.55.1:80 ATTACK
100 12/15/2010 02:28:41 syn flood TCP 192.168.1.34:54905 192.168.55.1:80 ATTACK
101 12/15/2010 02:00:29 ip spoofing - WAN TCP 192.168.1.3:53758 195.241.1XX.XX:59251 ATTACK
102 12/15/2010 00:59:39 syn flood TCP 192.168.1.33:59082 192.168.55.1:80 ATTACK
103 12/15/2010 00:58:35 syn flood TCP 192.168.1.33:59072 192.168.55.1:80 ATTACK
104 12/15/2010 00:57:39 syn flood TCP 192.168.1.33:59063 192.168.55.1:80 ATTACK
105 12/15/2010 00:57:31 syn flood TCP 192.168.1.33:59022 192.168.55.1:80 ATTACK
106 12/15/2010 00:57:10 syn flood TCP 192.168.1.34:50574 192.168.55.1:80 ATTACK
107 12/15/2010 00:57:07 syn flood TCP 192.168.1.33:59021 192.168.55.1:80 ATTACK

woensdag 15 december 2010 12:41

Acties:
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 11:32

CrankyGamerOG

Assumption is the mother.....

Daar doen we hier niet aan.

[ Voor 91% gewijzigd door iisschots op 15-12-2010 13:25 ]

KPN - Vodafone Ziggo Partner

woensdag 15 december 2010 12:50

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 28-11 09:35

leuk_he

1. Controleer de kabel!

CrankyGamerOG schreef op woensdag 15 december 2010 @ 12:41:
http://lmgtfy.com/?q=syn+flood+TCP
Je doelt vast op dat telfort topic, echter daar staat meer misinformatie in dan oplossingen.

syn flood kan een aanval zijn, het kan ook zijn dat je veel verbindingen per seconde opent, zoals met bittorrent (iets wat jij al aangeeft). Het feit dat de aanval van binnen naar buiten gaat geeft al aan dat het iets iet vanaf jouw pc.


Blijkbaar staat die firewall van zyxel te strak afgesteld om bittorrent te draaien, daarom kun je wellicht de aanval beveilig van de zyxel maar uitzetten, als je die niet kunt tunen.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

woensdag 15 december 2010 12:54

Acties:
  • Barleone
  • Registratie: Maart 2009
  • Laatst online: 14:34

Barleone

Right, ik zou ook maar eens nagaan of je geen deel uitmaakt van een botnet.
Wikipedia: SYN flood

Tweakers.net 6 nostalgie! - Wayback Machine
Have you tried turning it off and on again?

woensdag 15 december 2010 13:00

Acties:

Verwijderd

Topicstarter
CrankyGamerOG schreef op woensdag 15 december 2010 @ 12:41:
http://lmgtfy.com/?q=syn+flood+TCP
Ik vroeg niet wat een Syn flood is maar wat de oorzaak kan zijn. Ik heb begrepen dat p2p verkeer soms als syn flood geinterpreteerd wordt en het mogelijk ook kan wijzen op een virus/trojan infectie.

Wat ik dus graag wil weten is of iemand hieruit iets meer kan opmaken en of het nodig/nuttig is maatregelen te nemen en zo ja welke.

Utorrent draait alleen op 192.168.1.34 niet op 192.168.1.33 waar ook melding van wordt gemaakt. Daarnaast is het IP 192.168.1.3 voor zover ik weet niet in gebruik op mijn interne netwerk maar het wordt wel gemeld in de IP spoofing melding.
leuk_he schreef op woensdag 15 december 2010 @ 12:50:
[...]


Je doelt vast op dat telfort topic, echter daar staat meer misinformatie in dan oplossingen.

syn flood kan een aanval zijn, het kan ook zijn dat je veel verbindingen per seconde opent, zoals met bittorrent (iets wat jij al aangeeft). Het feit dat de aanval van binnen naar buiten gaat geeft al aan dat het iets iet vanaf jouw pc.


Blijkbaar staat die firewall van zyxel te strak afgesteld om bittorrent te draaien, daarom kun je wellicht de aanval beveilig van de zyxel maar uitzetten, als je die niet kunt tunen.
Bedankt.
Barleone schreef op woensdag 15 december 2010 @ 12:54:
Right, ik zou ook maar eens nagaan of je geen deel uitmaakt van een botnet.
Wikipedia: SYN flood
Dat was een van de dingen waar ik me zorgen over maakte. Ik heb Bothunter geinstalleerd maar die meldt geen activiteit.

[ Voor 12% gewijzigd door Verwijderd op 15-12-2010 13:02 ]

woensdag 15 december 2010 13:10

Acties:
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 11:32

CrankyGamerOG

Assumption is the mother.....

Verwijderd schreef op woensdag 15 december 2010 @ 13:00:
[...]


Ik vroeg niet wat een Syn flood is maar wat de oorzaak kan zijn. Ik heb begrepen dat p2p verkeer soms als syn flood geinterpreteerd wordt en het mogelijk ook kan wijzen op een virus/trojan infectie.

Wat ik dus graag wil weten is of iemand hieruit iets meer kan opmaken en of het nodig/nuttig is maatregelen te nemen en zo ja welke.

Utorrent draait alleen op 192.168.1.34 niet op 192.168.1.33 waar ook melding van wordt gemaakt. Daarnaast is het IP 192.168.1.3 voor zover ik weet niet in gebruik op mijn interne netwerk maar het wordt wel gemeld in de IP spoofing melding.


[...]


Bedankt.


[...]


Dat was een van de dingen waar ik me zorgen over maakte. Ik heb Bothunter geinstalleerd maar die meldt geen activiteit.
Ik gaf de google link ook niet om jou te leren wat een SYN Flood is ! ;)
Ik gaf je de link om zelf eerst eens wat meer werk te steken in onderzoek alvorens je een post maakt.
Als je de google link volgt zie je zoals hierboven ook word opgemerkt dat je dus veel connecties naar de router maakt, en dit kan komen door p2p verkeer.

Kun jij op je router op de commandline ? ik wil wel eens de arp tabel zien op dat ding.
Zover ik me kan herrineren kon ik dat wel op de Zyxel P-2602R-D1A.
Ik wil wel eens zien welke ipadressen in jouw lokale netwerk daadwerkelijk te vinden zijn, aangezien jij zegt dat je .33 niet verdenkt.
Daarbij dat hij zegt dat .3 voorkomt zegt niks zolang je de oorzaak niet weet, als het daadwerkelijk een spoof is moet je dit ook terug zien in de arp tabel,
aangezien er dan een macadres opeens van ip veranderd is.

Volgens mij maak je een denkfout, doordat je meteen aanneemt dat het komt door p2p verkeer.
dat .33 voorkomt wilt niet zeggen dat er ook automatisch p2p verkeer gedaan word.

Kun je eens een schets maken met alle apparaten op het netwerk?

Ik zou persoonlijk 1 voor 1 alle apparatuur uitschakelen en zien of de meldingen weggaan, zo kun je uitsluiten.

[ Voor 22% gewijzigd door CrankyGamerOG op 15-12-2010 13:17 ]

KPN - Vodafone Ziggo Partner

woensdag 15 december 2010 13:31

Acties:
  • Erwinvz1
  • Registratie: Oktober 2003
  • Laatst online: 18-11 11:47

Erwinvz1

Draai tcpview is op Windows 7 machine (met utorrent aan). (begin en na een half uur downloaden ofzo)
Zelfde geld voor de vista machine.

Ik denk dat DHT/uPnp er mee te maken hebben, maar dan kan je zeker result geven welk programma de porten gebruiken.

Succes!!

tcpview:
http://technet.microsoft.com/en-us/sysinternals/bb897437

woensdag 15 december 2010 14:28

Acties:

Verwijderd

Topicstarter
Kun jij op je router op de commandline ? ik wil wel eens de arp tabel zien op dat ding.
Zover ik me kan herrineren kon ik dat wel op de Zyxel P-2602R-D1A.
Ik wil wel eens zien welke ipadressen in jouw lokale netwerk daadwerkelijk te vinden zijn, aangezien jij zegt dat je .33 niet verdenkt.
Daarbij dat hij zegt dat .3 voorkomt zegt niks zolang je de oorzaak niet weet, als het daadwerkelijk een spoof is moet je dit ook terug zien in de arp tabel,
aangezien er dan een macadres opeens van ip veranderd is.
Afbeeldingslocatie: http://img440.imageshack.us/img440/7466/41597288.jpg

Bedoelde je dit?

Ontdekte bij het instellen van de telnet verbinding in het modem overigens dat het telnet adres daar op 192.168.1.3 was ingesteld...

woensdag 15 december 2010 14:50

Acties:
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 11:32

CrankyGamerOG

Assumption is the mother.....

Ja precies :)

Dat maakt iig al duidelijk dat er geen vreemde dingen op je netwerk zijn verbonden.
Je .33 en .34 zijn acounted nou, en de .3 ook.
Maar een TCP SYN FLOOD op de managment van je modem is wel enigzins vreemd.
Als je de .34 uitzet zie je dan alleen nog maar de .33 synflood ? en vice versa?

KPN - Vodafone Ziggo Partner

woensdag 15 december 2010 15:29

Acties:

Verwijderd

Topicstarter
Heb .34 uitgezet. Geen Syn floods meer. Nu .34 weer opgestart evenals Utorrent. Tot zover geen nieuwe entries in de Attack Log. Er zitten echter wel meer langer durende gaten in de syn flood entries in de log dus ik blijf er een oogje op houden.

En de syn floods zijn weer terug.

1 12/15/2010 15:36:27 syn flood TCP 192.168.1.34:50412 192.168.55.1:80 ATTACK
2 12/15/2010 15:36:18 syn flood TCP 192.168.1.33:50632 192.168.55.1:80 ATTACK
3 12/15/2010 15:36:09 syn flood TCP 192.168.1.33:50630 192.168.55.1:80 ATTACK

Vermoed nu toch echt dat deze met Utorrent samenhangen. Wel vreemd dat ook .33 voorkomt waarop geen Utorrent draait. Ik verbind wel via remote desktop vanaf .33 naar .34 misschien heeft dat er ook nog invloed op.

Ga proberen of ze weer verdwijnen als ik Utorrent uitzet.

[ Voor 53% gewijzigd door Verwijderd op 15-12-2010 15:42 ]

woensdag 15 december 2010 15:47

Acties:
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 11:32

CrankyGamerOG

Assumption is the mother.....

Kijk je hebt nooit verteld dat je vanuit .33 met RDP naar .34 ging, dat doet mij vermoeden dat je probleem denk ik op de .33 zit, en niet op de .34

Of je .34 trekt hem zo vol dat hij elk pakketje dan ziet als flood en daarom je .33 ook aanmerkt.

[ Voor 25% gewijzigd door CrankyGamerOG op 15-12-2010 15:48 ]

KPN - Vodafone Ziggo Partner

woensdag 15 december 2010 16:01

Acties:

Verwijderd

Topicstarter
Heb nu Utorrent en de remote desktop afgesloten. Nog steeds synfloods.vanaf .33 en .34 naar mijn router op port 80...

woensdag 15 december 2010 16:06

Acties:
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 11:32

CrankyGamerOG

Assumption is the mother.....

kun je eens een tcpdump doen op je netwerk? ik wil de packets wel eens zien die voorbij komen vliegen :)

KPN - Vodafone Ziggo Partner

woensdag 15 december 2010 16:07

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 28-11 09:35

leuk_he

1. Controleer de kabel!

Kun je de policiy voor dat synfliter uitlezen? (iets als maximum open request zonder reply ofzo)

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

woensdag 15 december 2010 16:11

Acties:

Verwijderd

Topicstarter
Bedoel je dit?

Denial of Service Thresholds

One Minute Low 80 ( Sessions per Minute)
One Minute High 100 ( Sessions per Minute)
Maximum Incomplete Low 80 ( Sessions)
Maximum Incomplete High 100 ( Sessions)
TCP Maximum Incomplete 30 ( Sessions)

woensdag 15 december 2010 16:19

Acties:
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 11:32

CrankyGamerOG

Assumption is the mother.....

dat is wel errug laag allemaal imho, ik zou het sowieso wat opschroeven.

KPN - Vodafone Ziggo Partner

woensdag 15 december 2010 16:24

Acties:

Verwijderd

Topicstarter
CrankyGamerOG schreef op woensdag 15 december 2010 @ 16:06:
kun je eens een tcpdump doen op je netwerk? ik wil de packets wel eens zien die voorbij komen vliegen :)
Ik heb net Windump geinstalleerd. Wil je gewoon een willekeurige screenshot van wat daar zoal voorbij komt?
CrankyGamerOG schreef op woensdag 15 december 2010 @ 16:19:
dat is wel errug laag allemaal imho, ik zou het sowieso wat opschroeven.
Zal ze wat opschroeven. Suggesties voor wat voor instellingen goed zijn? Zit op een 17575 kbps / 1117 kbps ADSL lijn.

woensdag 15 december 2010 19:28

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 28-11 09:35

leuk_he

1. Controleer de kabel!

Zal ze wat opschroeven. Suggesties voor wat voor instellingen goed zijn? Zit op een 17575 kbps / 1117 kbps ADSL lijn.
uTorrent heeft bij mij 450 global connections(settings->connections). nou weet ik niet hoeveel hij ervan langs kan gaan in een minuut, maaar neem dat als uitgangspunt

One Minute Low 450 ( Sessions per Minute)
One Minute High 60 ( Sessions per Minute)
Maximum Incomplete Low 150 ( Sessions)
Maximum Incomplete High 200 ( Sessions)
TCP Maximum Incomplete 100 ( Sessions)

Je kunt met nmap ergens een netwerk segment scannen om een sync aanval te simuleren.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

woensdag 15 december 2010 19:49

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

CrankyGamerOG schreef op woensdag 15 december 2010 @ 16:19:
dat is wel errug laag allemaal imho, ik zou het sowieso wat opschroeven.
Tja, dat krijg je er ook van als je de typische hoeveelheid LAN verkeer over een WAN poort van een tweede NAT router laat lopen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 15 december 2010 20:23

Acties:

Verwijderd

Topicstarter
leuk_he schreef op woensdag 15 december 2010 @ 19:28:
[...]

uTorrent heeft bij mij 450 global connections(settings->connections). nou weet ik niet hoeveel hij ervan langs kan gaan in een minuut, maaar neem dat als uitgangspunt

One Minute Low 450 ( Sessions per Minute)
One Minute High 60 ( Sessions per Minute)
Maximum Incomplete Low 150 ( Sessions)
Maximum Incomplete High 200 ( Sessions)
TCP Maximum Incomplete 100 ( Sessions)

Je kunt met nmap ergens een netwerk segment scannen om een sync aanval te simuleren.
Heb de firewall settings omhoog gegooid.
Nog steeds voortdurende syn flood meldingen in Modem log.
Ik draai nu Colasoft Capsa 7 Network Analyzer en die laat een hoop TCP slow response, TCP connection retry en TCP connection refused meldingen zien tussen .34 en .33 op mijn interne netwerk.

Is er iets waar ik op kan letten in het packet verkeer dat diagnostisch kan zijn?
alt-92 schreef op woensdag 15 december 2010 @ 19:49:
[...]

Tja, dat krijg je er ook van als je de typische hoeveelheid LAN verkeer over een WAN poort van een tweede NAT router laat lopen.
Is me niet duidelijk waarover dit gaat maar ik heb niets aangsloten op de WAN poort van die sweex router.

[ Voor 15% gewijzigd door Verwijderd op 15-12-2010 20:28 ]

donderdag 16 december 2010 10:07

Acties:

Verwijderd

Topicstarter
Ik denk dat er nog steeds wat vreemds aan de gang is. Nadat ik gisteren de firewall limieten heb verhoogd rapporteert de modem log geen syn floods meer maar wel weer dit:

1 12/16/2010 04:34:08 ports scan TCP 121.54.54.38:44651 195.241.1XX.XX:16302 ATTACK
2 12/15/2010 23:26:31 ip spoofing - WAN TCP 192.168.1.3:44347 192.168.1.34:59251 ATTACK
3 12/15/2010 23:26:19 ip spoofing - WAN TCP 192.168.1.3:51360 192.168.1.34:59251 ATTACK
4 12/15/2010 23:26:13 ip spoofing - WAN TCP 192.168.1.3:51360 192.168.1.34:59251 ATTACK
5 12/15/2010 22:48:48 ip spoofing - WAN UDP 192.168.1.2:8464 192.168.1.34:59251 ATTACK

donderdag 16 december 2010 10:18

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 28-11 09:35

leuk_he

1. Controleer de kabel!

Verwijderd schreef op donderdag 16 december 2010 @ 10:07:

2/15/2010 23:26:31 ip spoofing - WAN TCP 192.168.1.3:44347 192.168.1.34:59251 ATTACK
Toch vreemd dat hij dat WAN noemt.

Kun je toch nog eens je netwerk tekenen, hoe het in elkaar zit. Zoals k het begrijp uit je eerste post is er niks aan de hand, maar met 2 routers en die vreemde WAN melding krijg ik de indruk dat je wan en lan poort ergens verwisseld zijn.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 16 december 2010 10:47

Acties:
  • CrankyGamerOG
  • Registratie: Juni 2003
  • Laatst online: 11:32

CrankyGamerOG

Assumption is the mother.....

Een network schematic zou sowieso wel handig zijn.......

KPN - Vodafone Ziggo Partner

donderdag 16 december 2010 12:00

Acties:

Verwijderd

Topicstarter
Afbeeldingslocatie: http://img337.imageshack.us/img337/9814/81352121.jpg

Op Pc 1 draait doorgaans Utorrent maar die heeft gisteren het grootste deel van de dag uitgestaan en de syn floods gingen gewoon door. Vanaf Pc 2 ben ik vaak via remote desktop verbonden met Pc 1 maar uitschakelen van de rd sessie had ook geen invloed op de syn flood meldingen. Die syn flood meldingen zijn met verhogen van de firewall settings nu verdwenen maar ik krijg dus nog steeds IP spoofing meldingen en een port scan melding.

[ Voor 21% gewijzigd door Verwijderd op 16-12-2010 12:45 ]

donderdag 16 december 2010 14:04

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Zet je devices dan ook gewoon in hetzelfde subnet.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 16 december 2010 16:58

Acties:
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 28-11 09:35

leuk_he

1. Controleer de kabel!

alt-92 schreef op donderdag 16 december 2010 @ 14:04:
Zet je devices dan ook gewoon in hetzelfde subnet.
aangezien het arp boradcast address 192.1698.1.255 ff:ff:ff:ff:ff:ff is neem ik aan dat zijn subnet 255.255.255.0 is . Niks mis mee. Alleen de zyxel beschouwd blijkbaar de interne adressen als wan. Nu kun je daar de ethernetpoort als wan configureren, maar aan de andere kant deelt bij blijkbaar wel geldige dhcp adressen uit ( ik neem aan dat dhcp op de sweex is uitgeschakeld...)

dus is alleen te concluderen dat die attack firewall niet goed staat. ik heb effe door de manual gebladered, maar die is niet zo specifiek.

/edit:
vvvvvvv Ja, dat is een goede vraag, wat is dat .55.1 adres?

[ Voor 4% gewijzigd door leuk_he op 16-12-2010 23:02 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 16 december 2010 22:55

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

leuk_he schreef op donderdag 16 december 2010 @ 16:58:
[...]

aangezien het arp boradcast address 192.1698.1.255 ff:ff:ff:ff:ff:ff is neem ik aan dat zijn subnet 255.255.255.0 is . Niks mis mee
Waarom gebruikt TS dan ook nog een 192.168.55.x subnet?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 17 december 2010 22:36

Acties:

Verwijderd

Topicstarter
Heb het netwerk opnieuw geconfigureerd zodat de tweede router (sweex) nu op 192.168.1.32 zit i.p.v. 192.168.55.1
DHCP op de tweede router was en is uitgeschakeld.
Nog steeds IP spoofing en portscan meldingen in de router.

Het adres 192.168.1.3 bestaat niet op mijn interne netwerk. Stond eerder toen ik ging zoeken in de modem router ingesteld als telnet IP maar is daar toen meteen naar 192.168.1.33 gewijzigd.

1 12/17/2010 18:50:42 ip spoofing - WAN TCP 192.168.1.3:59191 195.241.1XX.XX:21695 ATTACK
2 12/17/2010 18:50:36 ip spoofing - WAN TCP 192.168.1.3:59191 195.241.1XX.XX:21695 ATTACK
3 12/17/2010 18:49:01 ip spoofing - WAN TCP 192.168.1.3:58788 195.241.1XX.XX:59251 ATTACK
4 12/17/2010 18:47:22 ip spoofing - WAN TCP 192.168.1.3:58318 195.241.1XX.XX:59251 ATTACK
5 12/17/2010 18:46:19 ip spoofing - WAN TCP 192.168.1.3:57969 195.241.1XX.XX:59251 ATTACK
6 12/17/2010 18:46:13 ip spoofing - WAN TCP 192.168.1.3:57969 195.241.1XX.XX:59251 ATTACK
7 12/17/2010 18:46:10 ip spoofing - WAN TCP 192.168.1.3:57969 195.241.1XX.XX:59251 ATTACK
8 12/17/2010 18:45:11 ip spoofing - WAN TCP 192.168.1.3:57717 195.241.1XX.XX:59251 ATTACK
9 12/17/2010 18:43:29 ip spoofing - WAN TCP 192.168.1.3:57242 195.241.1XX.XX:59251 ATTACK
10 12/17/2010 18:43:26 ip spoofing - WAN TCP 192.168.1.3:57242 195.241.1XX.XX:59251 ATTACK
11 12/17/2010 02:28:54 ports scan TCP 96.51.152.134:65474 195.241.1XX.XX:21970 ATTACK

ARP:
Afbeeldingslocatie: http://img683.imageshack.us/img683/5799/82997729.jpg

vrijdag 17 december 2010 23:17

Acties:
  • RedHead
  • Registratie: Februari 2001
  • Laatst online: 26-11 22:35

RedHead

Erwinvz1 schreef op woensdag 15 december 2010 @ 13:31:
Draai tcpview is op Windows 7 machine (met utorrent aan). (begin en na een half uur downloaden ofzo)
Zelfde geld voor de vista machine.

Ik denk dat DHT/uPnp er mee te maken hebben, maar dan kan je zeker result geven welk programma de porten gebruiken.

Succes!!

tcpview:
http://technet.microsoft.com/en-us/sysinternals/bb897437
Wat kwam er uit bovenstaande?
Wat kwam er uit de tcpdump (wireshark)?

Wat gebeurd er als je de sweex router eens vervangt door een simpel switch (€10)?
pricewatch: D-Link DES-1005D 5-poorts 10/100 Mbps desktop switch

Heb je de pc's al eens door een online virusscanner gehaald en controle op rootkit?
http://technet.microsoft.com/en-us/sysinternals/bb897445

[ Voor 3% gewijzigd door RedHead op 17-12-2010 23:19 . Reden: rootkit revealer verwijzing ]

vrijdag 17 december 2010 23:18

Acties:
  • postbus51
  • Registratie: Februari 2010
  • Niet online

postbus51

Lala is sexy

Mss is het beter om het modem aan de sweex via de WAN poort aantesluiten ?

vrijdag 17 december 2010 23:20

Acties:
  • RedHead
  • Registratie: Februari 2001
  • Laatst online: 26-11 22:35

RedHead

postbus51 schreef op vrijdag 17 december 2010 @ 23:18:
Mss is het beter om het modem aan de sweex via de WAN poort aantesluiten ?
Dan ga je meestal dubbel nat'ten of je moet de sweex als bridge instellen..
Simpele switch is sneller en gemakkelijker

vrijdag 17 december 2010 23:26

Acties:
  • postbus51
  • Registratie: Februari 2010
  • Niet online

postbus51

Lala is sexy

RedHead schreef op vrijdag 17 december 2010 @ 23:20:
[...]


Dan ga je meestal dubbel nat'ten of je moet de sweex als bridge instellen..
Simpele switch is sneller en gemakkelijker
Gewooon die Sweex open gooien hangt achter het modem laat die NAT regelen (indien nodig)

zaterdag 18 december 2010 00:01

Acties:
  • RedHead
  • Registratie: Februari 2001
  • Laatst online: 26-11 22:35

RedHead

postbus51 schreef op vrijdag 17 december 2010 @ 23:26:
[...]


Gewooon die Sweex open gooien hangt achter het modem laat die NAT regelen (indien nodig)
zo draait die dus bijna nu al, behalve dan dat de router (Zyxel) met de Sweex niet over de WAN port wordt verbonden, maar daar zie ik in dit geval dan geen voordeel in.
Door de Zyxel gewoon in een LAN poort vd Sweex te stoppen functioneert de Sweex's in principe als een switch.

Echter hij ziet wel die spoofing meldingen in zijn log van de modem (Zyxel). En oa de melding dat de sweexs gespoofed wordt. Ben erg benieuwd of die meldingen nog steeds komen als je een simpel switch gebruikt.

[ Voor 2% gewijzigd door RedHead op 18-12-2010 00:05 . Reden: 'niet' vergeten ]

zaterdag 18 december 2010 00:36

Acties:

Verwijderd

Topicstarter
RedHead schreef op vrijdag 17 december 2010 @ 23:17:
[...]


Wat kwam er uit bovenstaande?
Wat kwam er uit de tcpdump (wireshark)?

Wat gebeurd er als je de sweex router eens vervangt door een simpel switch (€10)?
pricewatch: D-Link DES-1005D 5-poorts 10/100 Mbps desktop switch

Heb je de pc's al eens door een online virusscanner gehaald en controle op rootkit?
http://technet.microsoft.com/en-us/sysinternals/bb897445
port 59251 wordt gebruikt door Utorrent
port 21695 kom ik op geen van beide computers tegen, niet in tcpview en niet in Capsa
Ik heb gescand met Avast, AVG en ook met GMER op rootkits. Niets.
Ook gescand op packets op bekende backdoorports met Capsa. Niets

Ik zal wireshark ook nog installeren en draaien.

zaterdag 18 december 2010 17:23

Acties:
  • postbus51
  • Registratie: Februari 2010
  • Niet online

postbus51

Lala is sexy

leuk_he schreef
vvvvvvv Ja, dat is een goede vraag, wat is dat .55.1 adres

Dat is het browser inlog adres voor de sweex

zaterdag 18 december 2010 17:34

Acties:
  • postbus51
  • Registratie: Februari 2010
  • Niet online

postbus51

Lala is sexy

Ik denk dat er nog steeds wat vreemds aan de gang is. Nadat ik gisteren de firewall limieten heb verhoogd rapporteert de modem log geen syn floods meer maar wel weer dit:

1 12/16/2010 04:34:08 ports scan TCP 121.54.54.38:44651 195.241.1XX.XX:16302 ATTACK
2 12/15/2010 23:26:31 ip spoofing - WAN TCP 192.168.1.3:44347 192.168.1.34:59251 ATTACK
3 12/15/2010 23:26:19 ip spoofing - WAN TCP 192.168.1.3:51360 192.168.1.34:59251 ATTACK
4 12/15/2010 23:26:13 ip spoofing - WAN TCP 192.168.1.3:51360 192.168.1.34:59251 ATTACK
5 12/15/2010 22:48:48 ip spoofing - WAN UDP 192.168.1.2:8464 192.168.1.34:59251 ATTACK

Dan weer dit

Heb het netwerk opnieuw geconfigureerd zodat de tweede router (sweex) nu op 192.168.1.32 zit i.p.v. 192.168.55.1
DHCP op de tweede router was en is uitgeschakeld.
Nog steeds IP spoofing en portscan meldingen in de router.

Het adres 192.168.1.3 bestaat niet op mijn interne netwerk. Stond eerder toen ik ging zoeken in de modem router ingesteld als telnet IP maar is daar toen meteen naar 192.168.1.33 gewijzigd.

1 12/17/2010 18:50:42 ip spoofing - WAN TCP 192.168.1.3:59191 195.241.1XX.XX:21695 ATTACK
2 12/17/2010 18:50:36 ip spoofing - WAN TCP 192.168.1.3:59191 195.241.1XX.XX:21695 ATTACK
3 12/17/2010 18:49:01 ip spoofing - WAN TCP 192.168.1.3:58788 195.241.1XX.XX:59251 ATTACK
4 12/17/2010 18:47:22 ip spoofing - WAN TCP 192.168.1.3:58318 195.241.1XX.XX:59251 ATTACK
5 12/17/2010 18:46:19 ip spoofing - WAN TCP 192.168.1.3:57969 195.241.1XX.XX:59251 ATTACK
6 12/17/2010 18:46:13 ip spoofing - WAN TCP 192.168.1.3:57969 195.241.1XX.XX:59251 ATTACK
7 12/17/2010 18:46:10 ip spoofing - WAN TCP 192.168.1.3:57969 195.241.1XX.XX:59251 ATTACK
8 12/17/2010 18:45:11 ip spoofing - WAN TCP 192.168.1.3:57717 195.241.1XX.XX:59251 ATTACK
9 12/17/2010 18:43:29 ip spoofing - WAN TCP 192.168.1.3:57242 195.241.1XX.XX:59251 ATTACK
10 12/17/2010 18:43:26 ip spoofing - WAN TCP 192.168.1.3:57242 195.241.1XX.XX:59251 ATTACK
11 12/17/2010 02:28:54 ports scan TCP 96.51.152.134:65474 195.241.1XX.XX:21970 ATTACK

indien het adres 192.168.1.3 niet gebruikt wordt maar van de zyxel afkomstig is klopt poort-nummer niet # 25

Denk dat de TS nog maar eens goed moet kijken in zijn tekenschema hoe hij zijn routes heeft lopen

aangezien 195.241.1XX.XX zyxel is
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq