ddos door dns servers van ziggo? - Internet en hosting

woensdag 26 juni 2013 09:14

Acties:

Topicstarter

Beste medetweakers, ik heb hier naar mijn oog een redelijk vaag probleem, waar ik zelf niet uit kom. Gisteren en vannacht is mijn internet een aantal keer weggevallen. Wat ik zie in de logfile, dat zijn portscans en telkens LAN-side UDP floods, met als source IP van de portscan hetzelfde IP als de DNS host van ziggo is. Floods komen vanaf mijn eigen netwerk? Hier een screentje van de log van de firewall... http://i.imgur.com/b90PUQX.png is dit een ddosser of zijn dit "werkzaamheden" van ziggo? of zit mn pc (webserver) ineens in een botnet

Enigste wijziging in software is dat ik er WireShark op heb gezet...
edit: titel is misschien foutief, wist anders ook zo even niet.

[ Voor 21% gewijzigd door MineTurtle op 26-06-2013 09:22 ]

Professioneel veters-strikker / Hardware Prutser / Klusserdeklus zowel thuis als bij een lokale computerboer.- Owner Minecraft-community www.dutchkingcraft.nl - Handig met hardware, onhandig met mensen.

woensdag 26 juni 2013 10:20

Acties:

dion_b

Moderator Harde Waren

say Baah

Open deur: wat zie je in een Wireshark capture op je PC?

Oslik blyat! Oslik!

woensdag 26 juni 2013 10:53

Acties:

MineTurtle

Topicstarter

Om heel eerlijk te zijn, heb ik weinig tot geen kaas gegeten van netwerken, evenals van Wireshark, ik dacht er gewoon eens mee te gaan experimenteren, dus heb geen idee waar ik naar moet kijken. Hoorde van een vriend dat het een leuk tooltje is

Enigste wat mij opvalt is dat er heel veel onderlinge verbindingen zijn in mijn intern netwerk, tussen mn main pc (waar ook een mc server op draait) en mn 2e server, waar Wireshark op staat, en mn site + teamspeak + 2e mc server op draait. Eerst dacht ik dat het van Teamspeak was, welke de chat synced met de MC server, maar wanneer ik deze uit zet dan zijn die connections volgens wireshark er nogsteeds, en ook niet in mindere mate. Gezien de flood ook telkens vanaf mijn webserver komt en naar een ander WAN IP gaat, vraag ik me dus echt af wat hier aan de hand is. PC al gescanned met MBAM en Hitman Pro, geen detecties. HiJackThis ook geen gekke dingen in gevonden.

[ Voor 19% gewijzigd door MineTurtle op 26-06-2013 11:01 ]

Professioneel veters-strikker / Hardware Prutser / Klusserdeklus zowel thuis als bij een lokale computerboer.- Owner Minecraft-community www.dutchkingcraft.nl - Handig met hardware, onhandig met mensen.

woensdag 26 juni 2013 11:03

Acties:

dion_b

Moderator Harde Waren

say Baah

In wireshark kun je een specifieke verbinding volgen. Zoek verkeer op van en naar de Ziggo DNS server en kijk wat je ziet. Dat kun je doen door te filteren op IP-adres.

Veel verkeer naar DNS server is normaal, zeker als je aan het browsen bent (ik gebruik zelf de GoT HK grappige plaatjestopics als DNS server performance/stresstest

), zou het niet kunnen dat de firewall gewoon normaal verkeer verkeerd interpreteert? Sowieso, wat voor firewall is dat?

Oslik blyat! Oslik!

woensdag 26 juni 2013 11:05

Acties:

MineTurtle

Topicstarter

Firewall is integreerde firewall van mijn Ziggo modem (Cisco ECP3925)
zal dat eens proberen, en kijken wat daar uit komt. Alvast bedankt

hier is alvast screenie van unfiltered wireshark, zie je de verbindingen naar andere pc http://imgur.com/K7UCH19

geen idee hoe ik filter toe moet passen, als ik daar een IP invoer maakt niet uit welke, geeftie een error. btw, rechtse ip is source, links is target in logfile

[ Voor 54% gewijzigd door MineTurtle op 26-06-2013 11:10 ]

Professioneel veters-strikker / Hardware Prutser / Klusserdeklus zowel thuis als bij een lokale computerboer.- Owner Minecraft-community www.dutchkingcraft.nl - Handig met hardware, onhandig met mensen.

woensdag 26 juni 2013 11:17

Acties:

solomo

.....huh?

voor wireshark filtering kan je kijken op: http://wiki.wireshark.org/DisplayFilters
je kanook met je rechtermuistoets op een ip klikken en dan apply as filter of iets dergelijks selecteren

woensdag 26 juni 2013 11:25

Acties:

MineTurtle

Topicstarter

Gelukt, zie het er 1 of 2 keer tussen staan, de rest is allemaal spam van ips van LAN, zeker 50 per seconde

net zoals in de wireshark screen te zien is, van de webserver naar 2e server.

[ Voor 26% gewijzigd door MineTurtle op 26-06-2013 11:25 ]

Professioneel veters-strikker / Hardware Prutser / Klusserdeklus zowel thuis als bij een lokale computerboer.- Owner Minecraft-community www.dutchkingcraft.nl - Handig met hardware, onhandig met mensen.

woensdag 26 juni 2013 11:27

Acties:

thof

FP ProMod

Kun je iets meer laten zien m.b.t. die packets die 50x per seconde voorbij komen en iets meer vertellen over hoe je netwerk in elkaar zit? Bij mij thuis is het de HP Printerdriver die enorm veel packets rondstuurt om te zien of de printer in het netwerk aanwezig is...

woensdag 26 juni 2013 11:33

Acties:

MineTurtle

Topicstarter

Ziggo modem ===> switch ===> Server
......................................L===> MainPC
......................................L ===> Draadloze router ===> rest van systemen bedraad / draadloos
hopen dat zo een beetje duidelijk is... niet een erg geavanceerd netwerk dus. Nu je dat zegt van HP printer, ik heb wel een HP laserjet staan, die geshared is op de 2e pc waar hij telkens naartoe pinged... Standaard driver van windows 7, zonder al die HP meuk er bij.
Dit verklaart echter nog niet de logfile van de firewall lijkt mij, is net alsof dat vanaf mn server andere mensen worden aangevallen. Zelf ben ik toch echt niet aan het ddossen ;P

net een speedtestje gedaan, lijkt in orde te zijn met 112/8,97 (120/10 abbo) merk wel dat mn internet er af en toe uit ligt, net wanneer die UDP flood aan de gang is naar een WAN ip. Laatste flood ging naar 178.122.204.41 ergens in Belarus, daar heb ik toch echt niets te zoeken... (staat niet in logfile die hier gepost is, was uur naderhand)
[edit] ga nu naar mn werk, reacties vanaf mijn kant zullen pas laat komen dus.

[ Voor 41% gewijzigd door MineTurtle op 26-06-2013 12:12 ]

Professioneel veters-strikker / Hardware Prutser / Klusserdeklus zowel thuis als bij een lokale computerboer.- Owner Minecraft-community www.dutchkingcraft.nl - Handig met hardware, onhandig met mensen.

woensdag 26 juni 2013 13:33

Acties:

dion_b

Moderator Harde Waren

say Baah

Klinkt alsof jouw verbinding verstoord wordt doordat iets je upload volledig plattrekt, in dit geval richting Belarus.

Draai je stiekem een torrent of tor client op een van de aangesloten apparaten?

Reden dat ik Tor noem is dat dat typisch iets is wat gebruikt wordt in minder vrije landen. Belarus is een ranzige dictatuur, mensen daar die niet willen dat de KGB meeluistert gebruiken vaak Tor. Als jij Tor draait is het dus helemaal niet gek dat er verkeer die kant op gaat.

Oslik blyat! Oslik!

woensdag 26 juni 2013 14:22

Acties:

thof

FP ProMod

Wat wellicht ook nuttig is, is om uit te vinden welk systeem de oorzaak is. Vervolgens daar alle processen en services na lopen. Eventueel met behulp van wireshark het gebruikte poortnummer uitzoeken en via netstat achterhalen welk proces/service dit is.

woensdag 26 juni 2013 17:43

Acties:

MineTurtle

Topicstarter

Source komt vanaf webserver, draai daar geen TOR oid. op. Op main pc wel tor browser staan, gebruik ik nooit en service is niet actief. Bittorrent draait wel op die webserver, downloadclient, kan ik lekker laten downloaden als mn main pc uit staat. (webserver 24/7) Zit er denk al ruim een jaar op, maar is pas sinds gisteren eigenlijk dat dit allemaal gebeurd...

[ Voor 11% gewijzigd door MineTurtle op 26-06-2013 17:43 ]

Professioneel veters-strikker / Hardware Prutser / Klusserdeklus zowel thuis als bij een lokale computerboer.- Owner Minecraft-community www.dutchkingcraft.nl - Handig met hardware, onhandig met mensen.

donderdag 27 juni 2013 10:53

Acties:

thof

FP ProMod

Aha bittorrent, dat zou ook goed de oorzaak kunnen zijn. Het torrentprotocol steekt zo in elkaar dat er een hoog aantal connecties worden gemaakt. Dit zou er voor kunnen zorgen dat het gezien wordt als een DOS/DDOS attack. Mijn vorige modem ging altijd onderuit bij torrents, juist door het hoge aantal connecties. Doet het probleem zich ook voor als de torrentclient niet actief is op de webserver?

donderdag 27 juni 2013 13:25

Acties:

dion_b

Moderator Harde Waren

say Baah

Check op je server hoeveel connections Torrent client max mag maken, en hoeveel bandbreedte. Ik zou aanraden om connections in geval van twijfel op 50 te cappen en de total bandbreedte op max 1/2 van de max upload van je verbinding (niet wat de provider adverteert, maar wat jij daadwerkelijk haalt bij een test).

Oslik blyat! Oslik!

donderdag 27 juni 2013 17:47

Acties:

MineTurtle

Topicstarter

Damn hier had ik inderdaad nog niet bij stilgestaan, zal stiekem veel van mijn bandbreedte wegsnoepen indeed. Zal upload gewoon beperken tot 1mb/s ofzo, en even kijken of het probleem zich dan nogsteeds voordoet. Bedankt

Professioneel veters-strikker / Hardware Prutser / Klusserdeklus zowel thuis als bij een lokale computerboer.- Owner Minecraft-community www.dutchkingcraft.nl - Handig met hardware, onhandig met mensen.

donderdag 27 juni 2013 17:51

Acties:

dion_b

Moderator Harde Waren

say Baah

1mb/s? Ik zou toch echt minimaal 1Mb/s pakken

_{m=milli, M=mega, maakt nogal wat uit}

Wat je het best kunt nemen hangt af van je abo, hoeveel upload heb je? Te laag is bij torrents ook niet goed, want je downloadsnelheid wordt mede door upload bepaald.

Oslik blyat! Oslik!

donderdag 27 juni 2013 18:10

Acties:

MineTurtle

Topicstarter

Haha oops, ben niet zo van de getalletjes enzo stond ik ff niet bij stil bij dat verschil. Heb een 120/10 abbo, binnenkort 150/15 (ziggo)
Zal gewoon torrents stop zetten als ze gedownload zijn, en inderdaad de upload beperken, zien we wel wat er uit komt.

Professioneel veters-strikker / Hardware Prutser / Klusserdeklus zowel thuis als bij een lokale computerboer.- Owner Minecraft-community www.dutchkingcraft.nl - Handig met hardware, onhandig met mensen.

vrijdag 5 juli 2013 12:04

Acties:

skai21

Let wel op dat als je dit doet en je sluit je Bittorrent met het kruisje dat de taak gewoon blijft draaien.
Echt in de taakbalk sluiten

16 x JaSolar 335Wp | 5430Wp | GOODWE 4K-DT

vrijdag 5 juli 2013 12:08

Acties:

CyBeR

💩

_-SaVaGe-_ schreef op woensdag 26 juni 2013 @ 09:14:
Beste medetweakers, ik heb hier naar mijn oog een redelijk vaag probleem, waar ik zelf niet uit kom. Gisteren en vannacht is mijn internet een aantal keer weggevallen. Wat ik zie in de logfile, dat zijn portscans en telkens LAN-side UDP floods, met als source IP van de portscan hetzelfde IP als de DNS host van ziggo is. Floods komen vanaf mijn eigen netwerk? Hier een screentje van de log van de firewall... http://i.imgur.com/b90PUQX.png is dit een ddosser of zijn dit "werkzaamheden" van ziggo? of zit mn pc (webserver) ineens in een botnet Enigste wijziging in software is dat ik er WireShark op heb gezet...
edit: titel is misschien foutief, wist anders ook zo even niet.

Kijk eens goed naar de timestamps in je screenshot en concludeer aan de hand daarvan of 't überhaubt een aanval is. En kijk ook naar die kolom ervoor die waarschijnlijk de hoeveelheid packets aangeeft.

Protip: een DDoS-aanval zou enkele miljoenen packets opleveren van duizenden verschillende hosts op zeer korte termijn.

[ Voor 10% gewijzigd door CyBeR op 05-07-2013 12:09 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 5 juli 2013 12:12

Acties:

Brummetje

Ginkeltjes

CyBeR schreef op vrijdag 05 juli 2013 @ 12:08:
[...]

Kijk eens goed naar de timestamps in je screenshot en concludeer aan de hand daarvan of 't überhaubt een aanval is. En kijk ook naar die kolom ervoor die waarschijnlijk de hoeveelheid packets aangeeft.

Protip: een DDoS-aanval zou enkele miljoenen packets opleveren van duizenden verschillende hosts op zeer korte termijn.

Precies, dat is het eerste wat mij opvalt.. Zo veel staan er niet en als je kijkt naar de timestamps dan zit er vaak een minuut tussen... Niet echt iets om je zorgen over te maken en zeker niet iets wat je netwerk traag zou maken.

Torrents zou dan eerder het probleem zijn maar dit staat los van je log.