Ahoj,
v jedné z mnou instalovaných sítí mi začal firewall pravidelně zasílat alert s upozorněním na SYN-flood attack, viz výpis z LOGu:
[QUOTE]No. Time Source IP Destination IP Note
1|2008-11-22 21:43:24 |192.168.1.34:3547 |174.133.138.93:80 |ATTACK
syn flood TCP (L to W)[/QUOTE]
Na uvedené IP adrese sedí člověk co nemá ani šajnu o tom co se děje. Zajímá mě, co to může způsobovat, resp. jestli nejde o nějaký známý červík/app, který se takto projevuje. Přímý přístup na jeho PC nemám, jde o to, jak to řešit.
v jedné z mnou instalovaných sítí mi začal firewall pravidelně zasílat alert s upozorněním na SYN-flood attack, viz výpis z LOGu:
[QUOTE]No. Time Source IP Destination IP Note
1|2008-11-22 21:43:24 |192.168.1.34:3547 |174.133.138.93:80 |ATTACK
syn flood TCP (L to W)[/QUOTE]
Na uvedené IP adrese sedí člověk co nemá ani šajnu o tom co se děje. Zajímá mě, co to může způsobovat, resp. jestli nejde o nějaký známý červík/app, který se takto projevuje. Přímý přístup na jeho PC nemám, jde o to, jak to řešit.
Ten firewall mas v nejakej all-in-one krabicke alebo v linux masine?
Pre tych co nevedia anglicky, tu je to v cestine.
Pre tych co nevedia anglicky, tu je to v cestine.
[QUOTE=EditorPO;187584]Ten firewall mas v nejakej all-in-one krabicke alebo v linux masinecestine.[/QUOTE]
FW je ZyWall 2, takze all-in-one.
Vim o co jde, ale nevim kde to hledat. Na viry jsem se ptal, prej ma AV a hlasi mu to OK (coz samozrejme nemusi nic znamenat). Znervoznuje me to a zas*** LOG. Ignorovat to nechci, protoze to neni v poradku a potrebuju to resit.
Kdybych tusil co se takto projevuje, muzu zkusit zablokovat nejake adresy, nebo porty...
FW je ZyWall 2, takze all-in-one.
Vim o co jde, ale nevim kde to hledat. Na viry jsem se ptal, prej ma AV a hlasi mu to OK (coz samozrejme nemusi nic znamenat). Znervoznuje me to a zas*** LOG. Ignorovat to nechci, protoze to neni v poradku a potrebuju to resit.
Kdybych tusil co se takto projevuje, muzu zkusit zablokovat nejake adresy, nebo porty...
[QUOTE=EditorPO;188216]Ak som to dobre pochopil, tak z vnutra siete ide nejaky syn-flood utok na nejaky server na nete?[/QUOTE]
Ano, presne tak. Presneji se za posledni dny opakuji tyto venkovni adresy:
85.227.190.225:411 (ua-85-227-190-225.cust.bredbandsbolaget.se)
99.198.101.20:411 (*)
174.133.138.93:80 (5d.8a.85ae.static.theplanet.com)
99.198.101.12:411 (*)
90.176.18.177:2477 (177.18.broadband9.iol.cz)
69.120.176.255:6512 (ool-4578b0ff.dyn.optonline.net)
213.168.186.126:12550 (fwd582.dragon.cz)
83.233.30.50:80 (*)
89.187.131.211:411 (alfa.netzona.cz)
...
Vypada to, ze se vzdy opakuje utok na jednu adresu urcitou dobu, pak se pouzije jina adresa. Nejcasteji jdou utoky na porty 80 a 411. Nemam ani tuseni co to je za adresy, jestli se nejedna o nejaky herni server, DC, nebo kecalek... (dal jsem si trochu prace a zkusil je i prelozit, zatim z toho moudrej nejsem)
Ano, presne tak. Presneji se za posledni dny opakuji tyto venkovni adresy:
85.227.190.225:411 (ua-85-227-190-225.cust.bredbandsbolaget.se)
99.198.101.20:411 (*)
174.133.138.93:80 (5d.8a.85ae.static.theplanet.com)
99.198.101.12:411 (*)
90.176.18.177:2477 (177.18.broadband9.iol.cz)
69.120.176.255:6512 (ool-4578b0ff.dyn.optonline.net)
213.168.186.126:12550 (fwd582.dragon.cz)
83.233.30.50:80 (*)
89.187.131.211:411 (alfa.netzona.cz)
...
Vypada to, ze se vzdy opakuje utok na jednu adresu urcitou dobu, pak se pouzije jina adresa. Nejcasteji jdou utoky na porty 80 a 411. Nemam ani tuseni co to je za adresy, jestli se nejedna o nejaky herni server, DC, nebo kecalek... (dal jsem si trochu prace a zkusil je i prelozit, zatim z toho moudrej nejsem)
[quote=Aigor;188226]Vypada to, ze se vzdy opakuje utok na jednu adresu urcitou dobu, pak se pouzije jina adresa. Nejcasteji jdou utoky na porty 80 a 411. Nemam ani tuseni co to je za adresy, jestli se nejedna o nejaky herni server, DC, nebo kecalek... (dal jsem si trochu prace a zkusil je i prelozit, zatim z toho moudrej nejsem)[/quote]
Port 411 sa casto pouziva u HUBov pre DC++, je to forma zdielania suborov, podobna ako torrenty, ale na trochu inom principe. Jednoducho zakaz ten port. Ak ti to aj zatazuje siet, tak upozorni dotycneho, nech to nepouziva.
Tu je jeden zo zoznamov ceskych HUBov a tu nejaky pokec.
Tie IP adresy su vacsinou free hosting servery, kam sa taketo huby z "bezpecnostnych" ;) dovodov umiestnuju.
Port 411 sa casto pouziva u HUBov pre DC++, je to forma zdielania suborov, podobna ako torrenty, ale na trochu inom principe. Jednoducho zakaz ten port. Ak ti to aj zatazuje siet, tak upozorni dotycneho, nech to nepouziva.
Tu je jeden zo zoznamov ceskych HUBov a tu nejaky pokec.
Tie IP adresy su vacsinou free hosting servery, kam sa taketo huby z "bezpecnostnych" ;) dovodov umiestnuju.
Princip DC je mi znam, jen jsem to zatim nikdy nepouzival, tak chybi praxe. Jestli to je ono, pak se da od neceho odrazit. Horsi je, ze zakaz 411 nic neresi, pokud provoz dalsich hubu je na portu 80.
Denni statistiky se pohybuji v prumeru kolem techto cisel, nevim nakolik je to o necem vypovidajici..
Host IP Address
# Direction IP Address Amount
1 Rx From 192.168. 1. 34 10335 (Mbytes)
2 Tx To 192.168. 1. 34 5117 (Mbytes)
Zkusim dotycneho upozornit at omezi svoje aktivity. Nechci mit problemy kvuli ucpane siti, nebo tomu co stahuje...
Denni statistiky se pohybuji v prumeru kolem techto cisel, nevim nakolik je to o necem vypovidajici..
Host IP Address
# Direction IP Address Amount
1 Rx From 192.168. 1. 34 10335 (Mbytes)
2 Tx To 192.168. 1. 34 5117 (Mbytes)
Zkusim dotycneho upozornit at omezi svoje aktivity. Nechci mit problemy kvuli ucpane siti, nebo tomu co stahuje...
