Toon posts:

Problemen met SYN FLOOD op m'n router

Pagina: 1
Acties:

woensdag 10 april 2013 10:52

Acties:
  • 0 Henk 'm!
  • mwa
  • Registratie: April 2009
  • Laatst online: 15-07 21:36

mwa

Topicstarter
Situatieschets:

Arcadyan VGV7519 router (KPN), 50/50 glasvezel.
Hieraan hangt (bedraad) een NAS welke Windows 7 draait (volledig geupdate). Deze NAS functioneert als torrent downloader (uTorrent 2.2.1) alsmede FTP server voor vrienden/familie.

Probleem:
Router geeft constant meldingen van SYN FLOODS (zie screenshots). Dit is sinds een week of twee toegenomen. Deze zijn zowel inbound als outbound op het interne IP van deze NAS (.7). Dit zorgt er mede voor dat mijn upload speed totaal inkakt, download speed overigens niet. Daarnaast heeft het ook invloed op het interne netwerk waardoor websites trager laden etc.
Afbeeldingslocatie: http://i.imgur.com/m3js8XH.png
Afbeeldingslocatie: http://i.imgur.com/8gMaoFe.png

Stappen genomen om dit zelf op te lossen:
Uiteraard volledige scans gedaan op mijn systeem:
-Malwarebytes Antimalware
-Super Antispyware
-Hitman Pro
-TDSS Killer
-BItdefende bootkit removal tool
-Daarnaast in uTorrent verschillende instellingen aangepast, zoals "max connections" (op 100 gezet) alsmede max.half-open (op 10).

Bovenstaande had geen effect, dus heb ik uTorrent en FTP server helemaal uitgezet, en alles gereboot. Dit heeft geen effect, want de SYN FLOODs blijven doorgaan. Dit zijn er echt tientallen per seconde lijkt het. Overigens zijn er dan geen outbound meldingen meer, enkel inbound.

uTorrent heeft als port 6969, enkele dagen geleden was het 59233. Het vreemde is ook dat er nogsteeds incoming SYN FLOODs komen op het oude port nummer. DMZ staat uit op de router.

Daarnaast kan ik helaas weinig aanpassen op m'n router, aangezien deze dichtgetikt is door KPN. Google oplossingen melden om aanpassingen in m'n firewall te doen of DoS protectie uit te zetten, maar dit zijn geen opties aangezien KPN dit niet toestaat.

Iemand enige suggestie wat ik hieraan kan doen?

woensdag 10 april 2013 11:12

Acties:
  • 0 Henk 'm!
  • ShadowAS1
  • Registratie: September 2010
  • Laatst online: 25-06 21:20

ShadowAS1

IT Security Nerd

Als jij torrents download dan gebruik je niet maar 1 poortje. Want je kan geen tig IPs met een poort laten verbinden. Het kan goed zijn dat UPnP op je router die poort mede heeft toegewezen voor gebruik voor uTorrent. Maar ik denk verder dat je je niet druk hoeft te maken om die SYN floods. Want heb je er echt overlast van op een manier?

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

woensdag 10 april 2013 11:21

Acties:
  • 0 Henk 'm!
  • mwa
  • Registratie: April 2009
  • Laatst online: 15-07 21:36

mwa

Topicstarter
Door de syn flood (neem ik aan) komt de router tot z'n knieeen. Dit levert timeouts op tijdens het surfen. Zelfs inloggen op m'n router duurt lang (of geeft timeouts). Spotify of Youtube streamen gaat niet tot nauwelijks, en ook gewoon websites openen gaat niet. Een speedtest geeft wel gewoon de max snelheid aan die ik kan behalen (50/50). Er staat verder uiteraard ook niks te downloaden op andere laptops.

Zojuist de gehele NAS/server uitgezet, en SYN FLOODS blijven binnenstromen. Dit zowel op de huidige port die utorrent gebruikt, alsmede de oude. Het enige verschil is dat er bij inbound niet meer enkel m'n interne IP staat (192.68...) maar ook m'n WAN IP. Dit terwijl de gehele server uit staat, en de router opnieuw reboot is.

Deel van log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51

04/10/2013  12:10:06 **SYN Flood** 80.216.132.109, 58435->> 86.84.208.***, 6970 (from PPPoE1 Inbound)

04/10/2013  12:10:05 **SYN Flood** 180.177.234.6, 58227->>  , 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:05 **SYN Flood** 77.110.10.95, 39311->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:05 **SYN Flood** 46.246.29.67, 43090->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:05 **SYN Flood** 86.84.141.181, 56483->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:05 **SYN Flood** 130.237.201.3, 44827->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:04 **SYN Flood** 80.244.80.208, 59752->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:04 **SYN Flood** 84.250.71.79, 20151->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:04 **SYN Flood** 37.123.165.180, 54943->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:04 **SYN Flood** 107.2.79.126, 49647->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:04 **SYN Flood** 84.253.223.49, 42865->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:03 **SYN Flood** 93.142.169.175, 58638->> 86.84.208.***, 6970 (from PPPoE1 Inbound)

04/10/2013  12:10:03 **SYN Flood** 46.246.242.117, 57092->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:03 **SYN Flood** 94.23.169.175, 47447->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:03 **SYN Flood** 98.199.154.23, 58955->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:03 **SYN Flood** 109.124.157.24, 17218->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:03 **SYN Flood** 97.93.103.80, 57357->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:03 **SYN Flood** 84.74.67.206, 52421->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:02 **SYN Flood** 88.192.197.67, 57492->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:02 **SYN Flood** 85.89.22.57, 49862->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:02 **SYN Flood** 68.63.139.254, 47613->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:02 **SYN Flood** 78.35.100.187, 62687->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:02 **SYN Flood** 5.135.177.34, 44445->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:02 **SYN Flood** 24.87.152.59, 35096->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

04/10/2013  12:10:02 **SYN Flood** 78.70.154.120, 52780->> 86.84.208.***, 59233 (from PPPoE1 Inbound)

etc etc etc etc

[ Voor 82% gewijzigd door mwa op 10-04-2013 12:26 ]

donderdag 11 april 2013 01:30

Acties:
  • 0 Henk 'm!
  • EricJH
  • Registratie: November 2003
  • Laatst online: 05:53

EricJH

Ga eens na of de poort nog open staat op de router. Verder duurt het een paar uur nadat je een Torrent programma hebt uitgezet totdat het inkomende verkeer stopt.

donderdag 11 april 2013 10:37

Acties:
  • 0 Henk 'm!
  • mwa
  • Registratie: April 2009
  • Laatst online: 15-07 21:36

mwa

Topicstarter
Jep poorten zijn allemaal al dicht en ook uTorrent staat al een dag uit. Nogsteeds de syn floods helaas.

zaterdag 13 april 2013 10:57

Acties:
  • 0 Henk 'm!
  • mwa
  • Registratie: April 2009
  • Laatst online: 15-07 21:36

mwa

Topicstarter
Kleine bump. Had gehoopt dat er iemand mij hiermee zou kunnen helpen :)

zondag 14 april 2013 01:07

Acties:
  • 0 Henk 'm!
  • eddie4nl
  • Registratie: Juni 2010
  • Laatst online: 15-02 14:39

eddie4nl

Wat ik niet begrijp is waarom jou router zich hier mee bezighoudt als je de port niet geopend hebt. Waarschijnlijk heb je iets lopen seeden waar iemand het niet mee eens is en is die een DDoS begonnen.
Wikipedia: SYN flood

Kijk je router eens na wat er gebeurd met die port. Als het inderdaad dicht zou staan zou die het verkeer gewoon moeten droppen en niet eens in TCP onderhandeling gaan.

Wat je ook kan doen is het MAC adres veranderen van je router in de hoop een ander IP te krijgen.

EDIT
Kijk ook of je een firewall rule aan kan maken met een deny regel en dan alles met die port blokkeren.

[ Voor 9% gewijzigd door eddie4nl op 14-04-2013 01:11 ]

zondag 14 april 2013 01:33

Acties:
  • 0 Henk 'm!
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

ShadowAS1 schreef op woensdag 10 april 2013 @ 11:12:
Als jij torrents download dan gebruik je niet maar 1 poortje. Want je kan geen tig IPs met een poort laten verbinden.
Ah, daarom kan 't complete internet ook echt geen verbinding maken met een bepaalde server op alleen maar poort 80 ;)

Oh en daarom kan ik ook niet tweemaal vanaf het zelfde IP naar één en dezelfde webserver (zelfde IP) naar poort 80 verbinden ;)

(Er hoeft maar één itempje anders te zijn om een geldige andere TCP-verbinding op te zetten van de vier elementen: source IP, source port, destination IP en destination port. Je kunt dus prima slechts één poort openzetten voor je torrentjes. En dat gebeurt normaliter ook.)

[ Voor 36% gewijzigd door Osiris op 14-04-2013 01:40 ]

zondag 14 april 2013 17:21

Acties:
  • 0 Henk 'm!
  • mwa
  • Registratie: April 2009
  • Laatst online: 15-07 21:36

mwa

Topicstarter
eddie4nl schreef op zondag 14 april 2013 @ 01:07:
Wat ik niet begrijp is waarom jou router zich hier mee bezighoudt als je de port niet geopend hebt. Waarschijnlijk heb je iets lopen seeden waar iemand het niet mee eens is en is die een DDoS begonnen.
Wikipedia: SYN flood

Kijk je router eens na wat er gebeurd met die port. Als het inderdaad dicht zou staan zou die het verkeer gewoon moeten droppen en niet eens in TCP onderhandeling gaan.

Wat je ook kan doen is het MAC adres veranderen van je router in de hoop een ander IP te krijgen.

EDIT
Kijk ook of je een firewall rule aan kan maken met een deny regel en dan alles met die port blokkeren.
Ik heb het idee dat m'n NAT mapping table helemaal vol slipt, en het daardoor moeilijk wordt om nog nieuwe connecties te openen.
Alle poorten staan helemaal dicht, behalve de ene welke nog torrent verkeer ontvangt (een geheel 'nieuwe').

Helaas kan ik niks met de firewall doen (aan, uit, rules etc), want dit heeft KPN helemaal dichtgezet.
Inmiddels heb ik een nieuwe router besteld, welke dmv. VLAN's en m'n glasvezel kan ontvangen. Ben ik helemaal van die experia box af, en kan ik zelf m'n regels instellen.

maandag 15 april 2013 14:50

Acties:
  • 0 Henk 'm!
  • cornfed99111
  • Registratie: September 2006
  • Laatst online: 06-07 09:23

cornfed99111

Heb je een fabrieksreset geprobeerd op de Experiabox?

maandag 22 april 2013 16:03

Acties:
  • 0 Henk 'm!
  • mwa
  • Registratie: April 2009
  • Laatst online: 15-07 21:36

mwa

Topicstarter
cornfed99111 schreef op maandag 15 april 2013 @ 14:50:
Heb je een fabrieksreset geprobeerd op de Experiabox?
Helaas, dat helpt niks.

Iemand anders nog een suggestie wat ik hiertegen kan doen?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

04/22/2013  16:02:22 **SYN Flood Stop**  (from PPPoE1 Outbound)
04/22/2013  16:02:22 **SYN Flood** 95.80.9.105, 50211->> 86.84.208.253, 59233 (from PPPoE1 Inbound)
04/22/2013  16:02:21 **SYN Flood** 70.73.60.145, 52325->> 86.84.208.253, 59233 (from PPPoE1 Inbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.4, 52435->> 212.92.154.122, 51413 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 89.133.73.31, 50200->> 192.168.2.7, 1337 (from PPPoE1 Inbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58954->> 111.69.153.174, 35999 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58953->> 111.69.153.148, 35999 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58957->> 24.196.83.227, 63663 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58956->> 31.211.238.60, 11072 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58955->> 111.69.155.183, 35999 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58907->> 79.92.25.184, 50500 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58906->> 93.197.76.253, 44937 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58979->> 178.235.179.51, 12743 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58978->> 178.149.70.123, 44444 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58977->> 178.149.69.99, 44444 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58976->> 176.46.230.188, 49155 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58975->> 62.101.253.142, 50500 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58974->> 68.196.192.183, 26641 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58973->> 188.26.172.63, 47151 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.4, 52436->> 76.104.211.70, 49365 (from PPPoE1 Outbound)
04/22/2013  16:02:21 **SYN Flood** 85.24.236.50, 52245->> 86.84.208.253, 59233 (from PPPoE1 Inbound)
04/22/2013  16:02:21 **SYN Flood** 192.168.2.7, 58963->> 75.9.211.19, 35409 (from PPPoE1 Outbound)
04/22/2013  16:02:20 **SYN Flood** 192.168.2.7, 58905->> 85.167.13.230, 38004 (from PPPoE1 Outbound)
04/22/2013  16:02:15 **SYN Flood** 192.168.2.7, 58867->> 90.191.201.134, 18013 (from PPPoE1 Outbound)
04/22/2013  16:02:15 **SYN Flood Stop**  (from PPPoE1 Outbound)
04/22/2013  16:02:15 **SYN Flood** 192.168.2.7, 58862->> 79.101.177.92, 62321 (from PPPoE1 Outbound)
04/22/2013  16:02:15 **SYN Flood** 192.168.2.7, 58861->> 79.92.25.184, 50500 (from PPPoE1 Outbound)
04/22/2013  16:02:15 **SYN Flood** 192.168.2.7, 58906->> 93.197.76.253, 44937 (from PPPoE1 Outbound)

maandag 22 april 2013 16:29

Acties:
  • 0 Henk 'm!
  • cornfed99111
  • Registratie: September 2006
  • Laatst online: 06-07 09:23

cornfed99111

Ja, laat iemand erna kijken die er verstand van heeft.
Neem desnoods je PC en NAS naar hem/haar mee of laat hem/haar via remote desktop alles nakijken.
Die meldingen verschijnen niet voor niks.

Als je bijvoorbeeld je laatste log uittreksel bekijkt, gaan er ook requests van je
PC of NAS (192.168.2.4) naar het internet toe. Dus niet alleen van buiten naar binnen.
Er zal toch wat gegraven moeten worden in de processen op je PC of NAS.

maandag 22 april 2013 16:38

Acties:
  • 0 Henk 'm!
  • mwa
  • Registratie: April 2009
  • Laatst online: 15-07 21:36

mwa

Topicstarter
192.168.2.4 is m'n laptop (macbook), welke enkel gebruikt wordt om te browsen.

Zou het helpen als ik hier een overzicht post van de processen die draaien op de NAS (welke Win7 draait)?

Edit: Al die hoge poort nummers in bovenstaande log (58XXX) worden volgens de taskmanager toegeschreven aan uTorrent. Dit zal wel door de interne port mapping komen, aangezien ik enkel poort 1337 geforwared heb naar 192.168.2.7.

[ Voor 38% gewijzigd door mwa op 22-04-2013 16:55 ]

maandag 22 april 2013 18:28

Acties:
  • 0 Henk 'm!
  • cornfed99111
  • Registratie: September 2006
  • Laatst online: 06-07 09:23

cornfed99111

Een handig programma voor je Windows machine is TCPView.
Daarmee kan je inzien wat er allemaal gebeurd qua netwerk van en naar je NAS.
Daarmee kan je achterhalen welke processen voor wat verantwoordelijk zijn.

Voor je MAC zal ook wel een soortgelijk prog bestaan. Bijvoorbeeld Wireshark.

Anders weet ik geen andere oplossing.

maandag 22 april 2013 23:39

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 13-07 10:13

Kabouterplop01

chown -R me base:all

Het is je bittorrent client. en als je om te testen het even niet wil zien trek je even de kabel van de .2 (NAS) eruit. Als je denkt dat er iets mis is met je NAS dan moet je inderdaad wireshark installeren op je NAS. dan kun je zien welke applicatie al die poorten flood.

maandag 22 april 2013 23:51

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Met ^^. Twee of meer bittorrent clients in je netwerk is zwaar killing voor de meeste routers.

En je kunt in μTorrent, max-connections en max half-open toch ook allebei op 1 zetten?

QnJhaGlld2FoaWV3YQ==

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq