Eine Anfrage hetzt die nächste.....

Diskutiere Eine Anfrage hetzt die nächste..... im Netzwerk, Router, WLAN, Internet, Telefonie Forum im Bereich Sonstige Hardware Themen; Hi, seit geraumer Zeit habe ich in meinem Logfile für die Firewall folgende Einträge: 2003/10/04 13:05:08 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:1157 ...



Thema geschlossen + Neues Thema erstellen
Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 8 von 20
 
  1. Eine Anfrage hetzt die nächste..... #1
    Gelöscht
    Besucher Standardavatar

    Standard

    Hi,

    seit geraumer Zeit habe ich in meinem Logfile für die Firewall folgende Einträge:

    2003/10/04 13:05:08 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:1157
    2003/10/04 13:20:51 ** TCP SYN Flooding ** <IP/TCP> 149.221.91.101:80 ->> 217.84.1.143:50728
    2003/10/04 13:43:11 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:2352
    2003/10/04 13:50:07 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:2779
    2003/10/04 13:52:13 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:2907
    2003/10/04 13:54:20 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:3036
    2003/10/04 14:03:01 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:3392
    2003/10/04 14:04:46 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:3460
    2003/10/04 14:19:42 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.100:51365 ->> 213.244.183.209:80
    2003/10/04 15:19:22 ** TCP SYN Flooding ** <IP/TCP> 212.4.174.101:80 ->> 217.84.1.143:52866
    2003/10/04 15:20:20 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.20:2924 ->> 194.25.81.10:80
    2003/10/04 15:20:31 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.100:52898 ->> 213.244.183.209:80
    2003/10/04 15:29:52 ** TCP SYN Flooding ** <IP/TCP> 62.26.220.2:80 ->> 217.84.1.143:52911
    2003/10/04 15:55:56 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:3388
    2003/10/04 16:15:30 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:3598
    2003/10/04 16:17:45 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:3732
    2003/10/04 16:56:46 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:2206
    2003/10/04 17:54:40 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:4536
    2003/10/04 18:07:11 ** TCP SYN Flooding ** <IP/TCP> 192.168.1.20:4954 ->> 194.25.81.10:80
    2003/10/04 18:10:22 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:1200
    2003/10/04 18:13:04 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:1349
    2003/10/04 18:13:14 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:1427
    2003/10/04 18:37:09 ** TCP SYN Flooding ** <IP/TCP> 62.26.220.2:80 ->> 217.84.1.143:55471
    2003/10/04 18:51:08 ** TCP SYN Flooding ** <IP/TCP> 212.227.168.199:80 ->> 217.84.1.143:55580

    Laut Umfragen sind das "fast" schon DoS-Attacken.

    Einen Trojaner auf meiner Seite schliesse ich mal aus, da ich hier ein ziemliches Mischverhältniss zwischen LinuX und Windows-Clients habe. Die Anfragen kommen bzw. gehen aber sowohl als auch von beiden Systemen aus bzw. wollen diese Connecten.

    Der "Eigentümer" der IP ist ein Hoster in Neuss. Die meinen, ich hätte einen Trojaner. OK...OK......WENN dem so sein sollte, WARUM antwortet DANN deren Webserver auf die "Anfragen" eines solchen Trojaners ?? Es kann NUR sein, das einer HASS auf die hat und etwas entsprechendes plaziert hat....oder sehe ich das falsch ??

    Deren Logfiles sagen NIX aus meint der Örtlich ansässige Admin.

    Mich ärgerts nun nicht besonders, da ich mich NOCH einigermaßen sicher fühle......nur nerven mich diese Einträge im Logfile und ich würde gerne wissen, WARUM und WIESO die Ihren Ursprung haben.....

    Wenn also jemand sich berufen fühlt, mich ein wenig aufzuklären.......

    Danke....

    MfG
    Fetter IT

  2. Standard

    Hallo Gelöscht,

    schau Dir mal Diesen Ratgeber. an. Dort wirst du bestimmt fündig.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Eine Anfrage hetzt die nächste..... #2
    Foren-Guru Avatar von Azzo

    Mein System
    Azzo's Computer Details
    CPU:
    AMD Phenom II X4 810
    Mainboard:
    Asus M3A78-T
    Arbeitsspeicher:
    4 GB DDR2 1066@800 Kingston HyperX
    Festplatte:
    3 * 1 TB Samsung HD103SI RAID0+5
    Grafikkarte:
    ASUS EAH4850
    Soundkarte:
    onboard RTL888
    Monitor:
    Samsung Syncmaster 2493HM
    Gehäuse:
    YeongYang 5604
    Netzteil:
    beQuiet Dark Power Pro
    Betriebssystem:
    Win XP Pro SP3 / Server 2008
    Laufwerke:
    Samsung SH-223F
    Sonstiges:
    nix

    Standard

    Also bei dem Abstand der Synchs gehe ich nicht von einer DOS oder gar DDOS Attacke aus. Dazu reicht einfach die Last nicht.
    Um sicher zu gehen, kann man checken, ob die übermittelte IP des "Angreifers" existiert. Wenn nein, dann entweder nicht drauf antworten (Anfragen des Rechners ignorieren) oder bei Verdacht das Time-Out runtersetzen, damit nicht zuviele offene Verbindungen den Server überlasten.

    Ansonsten sind das Anfragen um eine Datenverbindung herzustellen, hier gleich über mehrere Ports. Sollte einer offen sein, wird vermutlich eine "Backdoor" installiert. Aber wer weiß. Vielleicht versucht auch nur ein pubertierender Teeanager seine Hackerfähigkeiten.
    :2

    Gruß

  4. Eine Anfrage hetzt die nächste..... #3
    Gelöscht
    Besucher Standardavatar

    Standard

    Hi,

    jau, die IP habe ich ja. Dahinter soll der Webserver eines Hosters aus der Umgebung stecken. Mit denen habe ich auch schon eMail-Kontakt. Die meinen allerdings, das bei denen nix in den Logs auftaucht....;-((..

    Bei einer "richtigen" DoS-Attacke könnte ich wohl auch nicht mehr surfen, da mein kleiner Router das wohl nicht mitmachen würde.

    Ich habe schon dran gedacht, ob´s vielleicht dieser Sven/W.32 oder ein Artgenosse sein könnte.....

    Antworten werde ich da sicher nicht und die entsprechenden Ports sind auch alle dicht......habe mir nun extra mal ne 2.te LinuX-Firewall dahinter genagelt und werde mal weiter beochbachten......


    MFG
    Fetter IT

  5. Eine Anfrage hetzt die nächste..... #4
    Foren-Guru Avatar von Azzo

    Mein System
    Azzo's Computer Details
    CPU:
    AMD Phenom II X4 810
    Mainboard:
    Asus M3A78-T
    Arbeitsspeicher:
    4 GB DDR2 1066@800 Kingston HyperX
    Festplatte:
    3 * 1 TB Samsung HD103SI RAID0+5
    Grafikkarte:
    ASUS EAH4850
    Soundkarte:
    onboard RTL888
    Monitor:
    Samsung Syncmaster 2493HM
    Gehäuse:
    YeongYang 5604
    Netzteil:
    beQuiet Dark Power Pro
    Betriebssystem:
    Win XP Pro SP3 / Server 2008
    Laufwerke:
    Samsung SH-223F
    Sonstiges:
    nix

    Standard

    Ich hätte das Posting zweimal lesen sollen:

    Du bist der Absender?
    Dein Rechner führt Port-Scans durch? Oder wie jetzt?

    Ich dachte, du bist der angegriffene.

    Sendet dein Rechner nur an diese Adresse?

    Merkwürdig&#33; Bist du sicher, das auf deinem System kein RC-Soft installiert ist, oder ein Wurm?

    Äh, mach mich doch mal schlau.


    Gruß

  6. Eine Anfrage hetzt die nächste..... #5
    Mitglied Avatar von sveta5

    Standard


    die IP habe ich ja. Dahinter soll der Webserver eines Hosters aus der Umgebung stecken. Mit denen habe ich auch schon eMail-Kontakt. Die meinen allerdings, das bei denen nix in den Logs auftaucht....
    den inhaber der ip kriegst du hier raus:

    ip-identifikation

    gruss

    sveta

  7. Eine Anfrage hetzt die nächste..... #6
    Hardware - Experte Avatar von Integra

    Standard

    Oder hier&#33; :bj

  8. Eine Anfrage hetzt die nächste..... #7
    Gelöscht
    Besucher Standardavatar

    Standard

    Hi,

    nun, ich bin nicht der Absender.
    Die Gegenstelle kenne ich bereits (ping -a.....) und habe auch eMail-Kontakt mit den hiesigen Admins (ein sich nennender Richard Ertl....ist auch laut den RIP-Infos richtig....).

    Mein Router wird in mehr oder weniger unregelmässigen Abständen von deren Webserver gescannt.
    Da ich aber dank DSL-Flat eine dynamische IP habe, lautet deren Erklärung, ich hätte einen Wurm, der Ihren Webserver kontaktieren will......schaue ich mir aber mal die Zeile:

    2003/10/04 13:05:08 ** TCP SYN Flooding ** <IP/TCP> 194.25.81.10:80 ->> 217.84.1.143:1157

    genauer an, so sehe zumindest ich, das deren Webserver auf Port 80 an meine IP an Port 1157 eine "Anfrage" gesendet hat........oder sehe ich das falsch...(müsste DANN zwar nochmals alle Bücher zum Thema hier lesen, kann aber sein...;-((......)......?????

    Nun, ich habe hier nun am Freitag ALLE Rechner bis auf meine LinuX-WS runtergefahren.

    Das Ergebniss seht Ihr ja oben. Weitere Scans. Also habe ich nun heute (Sonntag) meine LinuX-Kiste runter und meine MS-Kiste wieder hoch......Desktop-Firewall installiert und.....weitere Scans......obwohl NIX von meiner WS nach außen geht.....;-((......nicht mal internes Netz habe ich erlaubt........

    Auf Viren, Würmer und Trojaner habe ich mit aktuellster Software mein Netz bereits die letzten beiden Wochen gestresst.......jedesmal ohne Ergebniss.......

    Ich finde es komisch, das mich da ein angeblicher Webserver scannen will.......bis zum Zeitpunkt als diese IP in meinen Logfiles auftauchte, kannte ich deren Domain nicht.......und habe diese somit zumindest nicht wissentlich angesurft.....

    Nun ja, wenn es ein Wurm sein sollte, dann ist es ein VERDAMMT guter......den der lüppt unter Win XP genauso wie unter LinuX....;-()......

    @Sveta5:
    DANKE für Deine Beteiligung......ich hoffe, WIR können mal einen HEBEN gehen, wenn ICH mich gebessert habe...;-().....(DIES ist NICHT ironsich gemeint.......)......

    MFG
    Fetter IT

  9. Eine Anfrage hetzt die nächste..... #8
    Foren-Guru Avatar von Azzo

    Mein System
    Azzo's Computer Details
    CPU:
    AMD Phenom II X4 810
    Mainboard:
    Asus M3A78-T
    Arbeitsspeicher:
    4 GB DDR2 1066@800 Kingston HyperX
    Festplatte:
    3 * 1 TB Samsung HD103SI RAID0+5
    Grafikkarte:
    ASUS EAH4850
    Soundkarte:
    onboard RTL888
    Monitor:
    Samsung Syncmaster 2493HM
    Gehäuse:
    YeongYang 5604
    Netzteil:
    beQuiet Dark Power Pro
    Betriebssystem:
    Win XP Pro SP3 / Server 2008
    Laufwerke:
    Samsung SH-223F
    Sonstiges:
    nix

    Standard

    Da bin ich ja froh, das ich doch nicht zu blöd bin. Ich hatte die IP-Adressen schon vorsichtshalber überprüft.
    Das Log-File liest sich etwas dünne, denn:
    - ein Land Attack ist aufgrund der geringen Abfragen ausgeschlossen, trotzdem wird Flooding angegeben, bei realen Adressen eigentlich Quark
    - wenn die Pfeilrichtung richtig interpretiert wird, bleibt deine Vermutung korrekt
    - wenn also ein Unbekannter mit deiner IP den Rechner der Gegenstelle kontaktet, und diese Gegenstelle nun ein ACK von dir verlangt, was dann nicht kommt, dann müssen die das in ihren Protokollen sehen
    - wenn dein Rechner der Urheber wäre und die Gegenstelle verlangt ein ACK wäre die Verbindung zustande gekommen, egal ob deine Adresse dynamisch ist oder nicht
    - wenn dein Rechner infiziert wäre und die Gegenstelle damit kompromitieren wollte, würdest du eine gefakte IP verschicken und dann würden die nicht mal merken, wer da anklopft

    Ergo: Über ihre Rechner läuft etwas, die sind nur zu faul nachzuschauen

    Wenn deine Firewall eine Blacklist führt, dann setz deren Rechner (IP Adresse) drauf und Ruh ist.

    Sicherheitshalber solltest du deinen Verkehr nach draußen loggen und nicht nur den von außen kommenden.
    Wenn dein Rechner schuld wär, müßten Sende- und Empfangszeiten korrelieren, oder nicht?

    Happy freaking


Eine Anfrage hetzt die nächste.....

Besucher kamen mit folgenden Begriffen auf die Seite:

Stichworte


Guides, Tipps und Mitspieler zu Citadel: Forged with Fire findest du auf Citadel Forum - Forged with Fire.
-
Trete der Nintendo Community bei und besuche das Nintendo Switch Forum.