Netwerk gehackt door Smurf? - Netwerken

zaterdag 18 januari 2014 16:54

Acties:

Verwijderd

Topicstarter

Beste Tweakers,

Gisteren was ik bij een vriendin de modemrouter aan het nalopen en bekeek ook de logfiles.
In de logfiles kwam het volgende naar voren:

01/17/2014 21:50:02 **Smurf** [IP-Adres]->> 225.255.255.255, Type:8, Code:0 (from LAN1 Inbound)
01/17/2014 21:50:02 **Smurf** 224.0.0.1->> [IP-Adres], Type:0, Code:0 (from LAN1 Outbound)
01/17/2014 21:50:01 **Smurf** [IP-Adres]->> 192.168.2.255, Type:8, Code:0 (from LAN1 Inbound)

Nu is dat Smurf wat me een beetje zorgen baart. Is mijn vriendin gehacked? Op internet gelezen dat het een ping request is wat het antwoord van een ping naar een potentieel slachtoffer stuurt.

Is hier iets tegen te doen? De PC is voorzien van een goede firewall, de firewall op de router is ook enabled. De PC is net opnieuw geïnstalleerd en bevat geen virussen of wat dan ook.

Dit komt meerdere keren per dag voor. Het zijn telkens maar 3 regeltjes om de zoveel uur maar toch. De firewall van de router is zo ingesteld dat deze wel DoS aanvallen moet tegenhouden dus het is vreemd dat dit in de logging komt.

[ Voor 10% gewijzigd door Verwijderd op 18-01-2014 16:59 ]

zaterdag 18 januari 2014 17:11

Acties:

Verwijderd

Verwijderd schreef op zaterdag 18 januari 2014 @ 16:54:
De firewall van de router is zo ingesteld dat deze wel DoS aanvallen moet tegenhouden dus het is vreemd dat dit in de logging komt.

Want je wil niet weten wat er tegen gehouden wordt..?

zaterdag 18 januari 2014 20:10

Acties:

Verwijderd

Topicstarter

Ja daar heb je ook een punt :-). Betekend het dan dat de aanval is tegen gehouden? Kan iemand dat opmaken uit die regels?

zaterdag 18 januari 2014 22:16

Acties:

Verwijderd

Dit zijn interne IP ranges. Verander je wachtwoord en zet WPS uit. Zit je weer veilig.

zondag 19 januari 2014 05:25

Acties:

EricJH

Wikepedia zegt het volgende:

The Smurf Attack is a denial-of-service attack in which large numbers of Internet Control Message Protocol (ICMP) packets with the intended victim's spoofed source IP are broadcast to a computer network using an IP Broadcast address. Most devices on a network will, by default, respond to this by sending a reply to the source IP address. If the number of machines on the network that receive and respond to these packets is very large, flooding the victim's computer with traffic. This can slow down the victim's computer to the point where it becomes impossible to work on.

Het spreekt over een grote hoeveelheid ICMP messages die een netwerk ontwrichten. De hoeveelheid die jij ziet lijken mij niet genoeg om vaan aanval te spreken. Het lijkt mij dat de logs nodeloos alarmistisch zijn.

In de logs staat [IP Adres]. Is dat het interne IP adres van je vriendin's laptop of van een ander apparaat? Het gelogde verkeer zijn broadcasts (255.255.255.255 en 192.168.2.255) en een multicast. Hangt er iets van een mediacenter of harde schijf aan het locale netwerk?

zondag 19 januari 2014 07:29

Acties:

Verwijderd

Topicstarter

De [IP-Adres] is inderdaad het IP-adres van de computer.
Verder hangt is dat het enige wat er aan het netwerk hangt.

Die WPS optie zit volgens mij niet op die modemrouter maar dat zal ik nog even nakijken.

Het zijn inderdaad maar 3 regeltjes om de zoveel uur. Ik zie op internet ook mensen die er last van hadden waarbij het om de seconde raak was.

Ik zal me er verder dan niet te druk over maken

maandag 20 januari 2014 10:17

Acties:

Giftcard

Verwijderd schreef op zondag 19 januari 2014 @ 07:29:
Ik zal me er verder dan niet te druk over maken

Blijkbaar draait er wel iets op die PC wat dit veroorzaakt.. Misschien even de PC door de standaard scans heen gooien, kijken of die wat tegen komt.

"Secrets are only secrets if they are secret."

maandag 20 januari 2014 12:28

Acties:

LnC

The offending line...

Ziet er naar uit als een Smurf Attack. Op deze pagina kan je een How-to vinden om dit te voorkomen / verhelpen.
Leesvoer.