Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

PC-Cillin SYN flood en cloaking meldingen

[DarthV]
7 antwoorden
  • heb vandaag een fresh install gedaan, omdat ik nieuw mobo heb gekregen, direct ff weer PC-Cillin geinstalled, en wat zie ik tot mn grote verbazing, binnen 40 minuten meer dan 45 meldingen in de firewall log!!!

    ik kijken, staat bij de laatste aanval:

    Peronal Firewall:

    LAST attack type: SYN flood
    bytes Sent: 14.412.560
    bytes received: 486.578.908

    nou is dit niet helemaal normaal…. ik bedoel binnen 40 minuten een goeie 400 mb ontvangen is netjes, maar….

    heb ff een van de IP's die er het vaakst in voorkomt gepakt, en wat schets mijn verbazing… de omschrijving behorende bij dit is IP15.tweakers.net…

    nu deed ik voor de grap http://www.ip15.tweakers.net en waar komen we dan?? nou ja kijk zelf maar op de site van tweakers…

    heb ff de IP na getrokken:


    213.239.154.15
    Resolving 213.239.154.15…

    UDP scanning thread started …
    TCP scanning started …
    Resolved as : ip15.tweakers.net
    2 open port(s).
    Gathering banners …
    80 - Trying to determine web server type
    Server : Apache/1.3.27 (Unix) PHP/4.2.3 mod_gzip/1.3.19.1a

    Waiting for UDP thread …
    Operating System : probably Unix

    Alerts probing ..
    Checking FTP Alerts …
    Checking DNS Alerts …
    Checking Mail Alerts …
    Checking Service Alerts …
    Checking RPC Alerts …
    Checking Miscellaneous …
    Checking Information …
    CGI probing …
    Please wait …
    CGI probing finished.

    Scan completed in 21 seconds.
    Ready

    iemand een oplossing, virus oid kan het niet zijn… lijkt wel een persoonlijke Ddos aanval op mijn computer…

    kan ik evt om dit te omzeilen mn ISP vragen mn IP adres te veranderen? ik heb kabelinternet via @home…
  • Is waarschijnlijk een script-kiddie geweest die zijn nieuwe programma'tje wou uitproberen. Tenzij het vaker voorkomt zou ik me er niet druk over maken.

    Ik ga er niet vanuit dat de aanval afkomstig is van tweakers. Waarschijnlijk is het ip-adres gespooft (het source-adres is vervalst).
  • nou jah, eerder zat ie ook wel eens te zeuren, alleen lette ik er niet zo op, ik had dan vaak het idee dat ie flipte omdat kazaa zat te zoeken naar mn poort…

    maar mocht dit nu wel vaker voorkomen, wat kan ik er dan aan doen?
  • Tja, je hoeft er eigenlijk niks aan te doen, omdat je firewall het blockt. Bovendien is het niet mogelijk om een syn flood attack uit te voeren met een gespooft adres van een bestaande host:

    Van http://www.digitalunderground.net/docs/Linux/IP-Spoof.htm (ondanks de naam van de link lijkt het me niet dat ik deze link niet mag plaatsen)
    [quote:7e5bcd4781]
    4.2 SYN flooding
    —————-

    Thoroughly discussed in 'Phrack Volume Seven, Issue Forty-Eight, File 13 of
    18'. I won't waste much time on it.

    Setup:
    host A <—–][———-X—————>host B
    |
    host S <—————–/

    Concept:
    Host S impersonates SYN (connection init) coming from host A, to host B.
    Host A should be unreachable (e.g. turned off, non existant,…).
    B sends out the second packet of the 3 way TCP handshake. Host B will now
    wait for response of host A.
    If host A is reachable it will tell host B (with a reset: RST) that it DID NOT
    inititate a connection, and thus host B received a bogus packet. (In that case
    host B will ingnore the SYN, and *normally* nothing will happen)
    So if A is unreachable, B will wait for response some time.
    When doing multiple attacks, the backlog of host B is going to be exceeded
    and host B will not except new connections (read on TCP bugs for
    additional features ;) for some time.[/quote:7e5bcd4781]

    Maar volgens mij valt er niks tegen te doen (firewall heb je al).
  • Tweakers is offline vanwege een DDos-aanval, dus het is goed mogelijk dat je via dat IP adres wel bent benaderd. Kijk in elk geval je systeem heel goed na, want het is eigenaardig dat jij het slachtoffer bent. Misschien is jouw systeem wel gebruikt voor die aanval ….
  • Aangezien hij een "verse" install had op zijn pc lijkt het me sterk dat er een ddos tool op zijn pc geinstalleerd was. Ik denk er eerder aan dat zijn IP als spoofer gebruikt is. Ik weet niet wat zo'n personal firewall doet als ie SYN/ACK pakketjes krijgt of ie die ook als SYN aangeeft.

    Overigens zou ik wel opletten met poortscans die je doet op tweakers.
    Zeker omdat jou ip benaderd is van hun kant. Ik zou ff een mailtje sturen hierover misschien hebben ze er iets aan.
  • hmm wel vreemd dan…..

    heb nu norton internet security erop staan, maar die is niet zo fanatiek bezig als PC cillin….

    ennuh, wat bedoel je met: http://gathering.tweakers.net/forum/list_messages/667168

    ik mag toch wel met norton het IP natrekken of niet soms?

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.