Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

SYN-flood útok

Aigor (201)|23.11.2008 14:06
Ahoj,

v jedné z mnou instalovaných sítí mi začal firewall pravidelně zasílat alert s upozorněním na SYN-flood attack, viz výpis z LOGu:
[QUOTE]No. Time Source IP Destination IP Note
1|2008-11-22 21:43:24 |192.168.1.34:3547 |174.133.138.93:80 |ATTACK
syn flood TCP (L to W)[/QUOTE]

Na uvedené IP adrese sedí člověk co nemá ani šajnu o tom co se děje. Zajímá mě, co to může způsobovat, resp. jestli nejde o nějaký známý červík/app, který se takto projevuje. Přímý přístup na jeho PC nemám, jde o to, jak to řešit.
eraser (0)|26.11.2008 20:00
[QUOTE=Aigor;186176]červík/app[/QUOTE]Je to veľmi pravdepodobné...
EditorPO (2819)|26.11.2008 20:47
Ten firewall mas v nejakej all-in-one krabicke alebo v linux masine?

Pre tych co nevedia anglicky, tu je to v cestine.
Aigor (201)|27.11.2008 20:37
[QUOTE=EditorPO;187584]Ten firewall mas v nejakej all-in-one krabicke alebo v linux masinecestine.[/QUOTE]

FW je ZyWall 2, takze all-in-one.
Vim o co jde, ale nevim kde to hledat. Na viry jsem se ptal, prej ma AV a hlasi mu to OK (coz samozrejme nemusi nic znamenat). Znervoznuje me to a zas*** LOG. Ignorovat to nechci, protoze to neni v poradku a potrebuju to resit.
Kdybych tusil co se takto projevuje, muzu zkusit zablokovat nejake adresy, nebo porty...
EditorPO (2819)|27.11.2008 22:58
Ak som to dobre pochopil, tak z vnutra siete ide nejaky syn-flood utok na nejaky server na nete?
Aigor (201)|27.11.2008 23:21
[QUOTE=EditorPO;188216]Ak som to dobre pochopil, tak z vnutra siete ide nejaky syn-flood utok na nejaky server na nete?[/QUOTE]

Ano, presne tak. Presneji se za posledni dny opakuji tyto venkovni adresy:

85.227.190.225:411 (ua-85-227-190-225.cust.bredbandsbolaget.se)
99.198.101.20:411 (*)
174.133.138.93:80 (5d.8a.85ae.static.theplanet.com)
99.198.101.12:411 (*)
90.176.18.177:2477 (177.18.broadband9.iol.cz)
69.120.176.255:6512 (ool-4578b0ff.dyn.optonline.net)
213.168.186.126:12550 (fwd582.dragon.cz)
83.233.30.50:80 (*)
89.187.131.211:411 (alfa.netzona.cz)
...

Vypada to, ze se vzdy opakuje utok na jednu adresu urcitou dobu, pak se pouzije jina adresa. Nejcasteji jdou utoky na porty 80 a 411. Nemam ani tuseni co to je za adresy, jestli se nejedna o nejaky herni server, DC, nebo kecalek... (dal jsem si trochu prace a zkusil je i prelozit, zatim z toho moudrej nejsem)
EditorPO (2819)|28.11.2008 00:53
[quote=Aigor;188226]Vypada to, ze se vzdy opakuje utok na jednu adresu urcitou dobu, pak se pouzije jina adresa. Nejcasteji jdou utoky na porty 80 a 411. Nemam ani tuseni co to je za adresy, jestli se nejedna o nejaky herni server, DC, nebo kecalek... (dal jsem si trochu prace a zkusil je i prelozit, zatim z toho moudrej nejsem)[/quote]
Port 411 sa casto pouziva u HUBov pre DC++, je to forma zdielania suborov, podobna ako torrenty, ale na trochu inom principe. Jednoducho zakaz ten port. Ak ti to aj zatazuje siet, tak upozorni dotycneho, nech to nepouziva.
Tu je jeden zo zoznamov ceskych HUBov a tu nejaky pokec.
Tie IP adresy su vacsinou free hosting servery, kam sa taketo huby z "bezpecnostnych" ;) dovodov umiestnuju.
Aigor (201)|28.11.2008 08:14
Princip DC je mi znam, jen jsem to zatim nikdy nepouzival, tak chybi praxe. Jestli to je ono, pak se da od neceho odrazit. Horsi je, ze zakaz 411 nic neresi, pokud provoz dalsich hubu je na portu 80.

Denni statistiky se pohybuji v prumeru kolem techto cisel, nevim nakolik je to o necem vypovidajici..
Host IP Address
# Direction IP Address Amount
1 Rx From 192.168. 1. 34 10335 (Mbytes)
2 Tx To 192.168. 1. 34 5117 (Mbytes)

Zkusim dotycneho upozornit at omezi svoje aktivity. Nechci mit problemy kvuli ucpane siti, nebo tomu co stahuje...
EditorPO (2819)|28.11.2008 10:06
[quote=Aigor;188260]Zkusim dotycneho upozornit at omezi svoje aktivity. Nechci mit problemy kvuli ucpane siti, nebo tomu co stahuje...[/quote]
Pokial mas na routeroch bandwidth management, shaping, tak ho trochu pribrzdi :-)