word ik ge DDOS?

Even offtopic: het is geddossed denk ik, het is "toch" en niet "tog" en het is "continue", niet "continue".

Ik denk niet dat dit het geval is, immers kun je nog gewoon posten hier. Met een ddos zou je niks meer kunnen, en waarom zou iemand jouw ddossen?

Ik zou voor een paar uur het modem of de modemrouter uitschakelen, dan houdt het vanzelf wel een keer op.
Gezien het aantal connecties denk ik niet dat het een DDOS is, maar dat er wat Chinezen, Koreanen of Japannertjes wat dingen proberen, zie je wel vaker.

sfranken schreef op donderdag 01 maart 2012 @ 00:32:
...en het is "continue", niet "continue"

[ Voor 69% gewijzigd door CH4OS op 01-03-2012 00:37 ]

sfranken schreef op donderdag 01 maart 2012 @ 00:32:
Even offtopic: het is geddossed denk ik, het is "toch" en niet "tog" en het is "continue", niet "continue".

Is geen DDOS tijd ligt te ver uit elkaar bij DDOS krijg je meerdere connecties per seconde binnen. Niet een paar om de minuut

Dan nog: voor sommigen zit er wél wat meer tijd tussen om het écht een DDOS-aanval te kunnen noemen.
Je kunt in de log van de 27e tot de 53e minuut al weergeven, als je echt een DDOS-aanval voor de kiezen kreeg, stond het wel vol met dezelfde minuut.

[ Voor 43% gewijzigd door CH4OS op 01-03-2012 00:38 ]

Dat zeg ik net, lees dit topic even.

Een andere optie die ik me zojuist bedenk: botnet, je PC kan wellicht lid zijn (zonder dat je het weet, dus een virus) van een botnet en krijgt opdrachten van computers ergens in het grote boze werelde wijde web.

[ Voor 75% gewijzigd door CH4OS op 01-03-2012 00:41 ]

Verwijderd schreef op donderdag 01 maart 2012 @ 00:35:
[...]

offtopic:
Van oorsprong Engelse woorden eindigen altijd op -t in de Nederlandse taal, dus het zou geddost moeten zijn.

Als ik het bovenste ip opzoek krijg ik de web interface van een HDD-recorder, ik zou je port forwarding config maar eens nakijken

dragon4ce schreef op donderdag 01 maart 2012 @ 00:40:
Als ik het bovenste ip opzoek krijg ik de web interface van een HDD-recorder, ik zou je port forwarding config maar eens nakijken

"Extern adres" is niet de TS zelf, de screenshot is wat de TS zélf ziet in de log van de firewall.

Iets voor of van je dreambox? Check het zelf desnoods even en neem iig voorzorgsmaatregelen of blur je IP adres(sen) in je print screen:




duh, ben je natuurlijk niet zelf...

[ Voor 10% gewijzigd door BtM909 op 01-03-2012 00:47 ]

ziet er niet uit als iets dat goed is, het is een externe aanvraag dus lijkt me sterk dat 1 van de apparaten in huis iets doet aangezien je dan eenzelfde intern en extern ip-adres hebt.
Toch lijkt me dit niet een echte DDOS-aanval, meer als een paar vrienden, collega's of klasgenoten die gewoon wat proberen met je ip-adres.

CptChaos schreef op donderdag 01 maart 2012 @ 00:42:
[...]
"Extern adres" is niet de TS zelf, de screenshot is wat de TS ziet in de log van de firewall.

Ik heb af en toe inderdaad een probleem met lezen

helaas heeft hij niet echt goede films..

dragon4ce schreef op donderdag 01 maart 2012 @ 00:47:
Ik heb af en toe inderdaad een probleem met lezen

Je bent niet de enige...

helaas heeft hij niet echt goede films..

Oh well, het is de TSer niet, dan is het vast minder erg, toch?

Hangt er ergens een torrentclient op je netwerk?

hahaha, probeer eens te telnetten als user root naar dat ip

hmmz, iemand heeft m uitgezet

[ Voor 22% gewijzigd door dragon4ce op 01-03-2012 00:56 ]

Zoals ik al zei: paar uur je modem / modemrouter uitschakelen should do the trick en controleer je PC op virussen. Lees je het topic wel?

Verwijderd schreef op donderdag 01 maart 2012 @ 00:53:
Ik heb nooit met torrents gewerkt,

Mwah, de WoW-updater is ook een torrentclient (tenminste, dat was 'ie jaren geleden, neem aan nu nog). Net als updaters/installers van andere spellen/applicaties. Even de juiste argumenten aan netstat voeren op de commandline laat mogelijk zien welk programma er veel openstaande verbindingen heeft (als je firewall niet in de weg zit).

Ik denk eerder dat het vrij onschuldige poortscanners zijn die langskomen... Resetten van modem en/of router heeft weinig nut.

Was ons nog niet opgevallen

Gewoon over 10 min er weer in prikken, dan kijken wat het heeft gedaan.

Ik ga ervanuit dat er nog een router (of modemrouter combi) tussen je computer en de buitenwereld zit?

Dan heeft het posten van een screenshot van je firewall op je computer weinig zin.
Immers, je router houd al vele connecties tegen.
Het kan dus best zijn dat je geDDoSt wordt, en je router overuren draait om de connecties onder controle te krijgen.

Of wellicht werkzaamheden aan een aantal servers bij je provider?

Wellicht verstandig er toch een router tussen te plaatsen.
Ook al ben je goed beveiligd met die firewall, een router houd veel tegen (oa. OS fingerprinting).

Aan je firewall te zien is het geen DDoS, al vallen die IPadressen wel op.
Zojuist een bezoekje gebracht aan die van 0:50, die een aantal php script heeft in een open directory waarvan er één de header opslaat van elke pagina die die opent xD, oa van mij dus.

is je router nu uitgeschakeld?

Verwijderd schreef op donderdag 01 maart 2012 @ 01:11:
Net 1 minuut geleden 1:09 193.107.72.48

Russische Windows 2003 R2 server, ook verdacht.

Mja, dan hebben we het alleen over een inkomende verbinding, en niet over het aantal pakketjes.
Ik denk dat het random kiddies zijn die poortscans uitvoeren, net als hierboven al gemeld.

Aangezien jij met je pc direct op het internet zit (welliswaar met softwarematige firewall), heb je nu eenmaal een verhoogd risico.

IP aanpassen heeft weinig zin, zulke poortscans gebeuren ook op een andere IP adres.
Enige reden waarom het jou opvalt, is omdat je firewall ze tegenhoud; bij anderen doet de router dat al.

Beste advies dat ik je kan geven; Koop een router, en wacht geduldig tot het ophoud.

In je router DMZ uit, port forwards uit.

Misschien staat jouw ip ergens op het internetwwwdinges en komen er nu botjes langs

Verder zou ik me niet zo druk maken.

Tja, je kunt nog 100 van die screenshots posten, maar daar kan toch niemand wat mee. Misschien is er wel een storing bij je internetprovider. Sowieso nutteloos die firewall meldingen.

Inderdaad. Gooi gewoon je modem er een nachtje uit en kijk hoe het er morgenvroeg voor staat.

Verwijderd schreef op donderdag 01 maart 2012 @ 01:39:
Even een tussenstand met screenshot van het afgelopen uur : http://www.freebits.nl/images/309Naamloos.png


Edit : http://www.freebits.nl/images/530Naamloos2.png zijn er weer een paar bijgekomen LOL.

wat willen ze van me? ik ben geen obama met wereld geheimen begin het nu een beetje leuk te vinden xD

Er zijn genoeg virussen, mensen/ scripts op zoek naar gaten etc. die continue het hele internet afscannen. Niets speciaals dus, en als je een up-to-date OS + virusscanner hebt niets om je zorgen over te maken.

Er worden volledige IP ranges afgestruind voor open leaks. Crackers gaan voral hiermee tekeer opzoek naar beveiligingslekken, en open boxes die ze kunnen gebruiken. Je zou op z'n minst een firewall moeten instellen die dit soort connecties by default weigert.

Damn, dit is echt triest. Je kan er vanuitgaan dat er veel "ruis" op het internet is. 10 packets vanaf 1 host krijgen is geen DDOS.
Volgend topic over 5 spamberichten per dag?

EDIT: Er was dus een pagina 2 met nuttige posts :-) nvm this

Hoeveel services host je voor van buiten af (ergo portforwards).
En waar draait deze firewall? op een server achter je modem (met een 1:1 nat?) of is dit je normale gamepctje achter de standaard router? Want dan kan het namelijk ook gewoon een te strak geconfigureerde firewall zijn die standaard dingen als de return van een requested http pagina al als een aanval ziet.

Daarnaast kan het ook gewoon een SYN-flood zijn als je ergens een tcp poortje geforward heb, dit kan je detecteren door het netstat commando of even te kijken met een packet analyzer/sniffer zoals tcpdump of wireshark.

[ Voor 5% gewijzigd door LuckY op 01-03-2012 03:14 ]

gewoon internetruis. Is je modem niet gewoon regulier aan het overlijden en ben je toen gaan spitten? Vervolgens zie je deze meldingen en je denkt dat dat de oorzaak is

Welnu, ik denk dat het ondertussen wel duidelijk zal zijn. Er wordt over het grote enge Internet met regelmaat gekeken naar openstaande poorten om daarachter liggende ongepatchte services te kunnen aanvallen.
Mensen die daar niets tegen doen worden zo bijvoorbeeld ongewild lid van een botnet of worden besmet met een virus/worm/malware/spyware..

In de situatie van de TopicStarter komen er enkele meldingen voorbij van de firewall op zijn PC. Op zich natuurlijk goed dat de firewall het opmerkt en tegenhoudt, maar daar is hij voor bedoeld. Een firewall die van dit kleine aantal pakketjes meteen ervoor zorgt dat je PC niet meer fatsoenlijk op Internet kan is een beroerde firewall. Effectief wordt je firewall dan het onderwerp in een DOS aanval, maar dat is hier niet het geval.

Jouw probleem ligt waarschijnlijk bij je modem zelf. Heb je uberhaupt al eens contact opgenomen met de ISP provider? Wellicht zijn er wat problemen op de lijn, en is het morgen allemaal opgelost.

Ik wil je echter wel een tip geven. Met een setup zoals jij nu hebt (Je PC rechtstreeks op het modem) moet je dondersgoed in de gaten houden wat je allemaal toe wilt staatn aan verkeer naar je PC toe. ZOdra jij iets niet dichtzet (of tever openzet) is je PC direct te benaderen. Ik (en daarbij meerdere reageerders in dit topic) adviseer je om een aparte NAT router tussen het modem en je PC te plaatsen. Zo is je PC niet rechtstreeks vanaf Internet te benaderen. Voor wat betreft de beveiliging: Je moet dan echt expliciet op gaan geven welke poorten (voor spelletjes etc) jij wilt poortmappen naar je PC toe.