Er jeg under angrep? DDos?

[myhken]

De siste dagene har jeg hatt problemer med ruteren min, som til stadighet detter ut. Den røde lampen lyser som bare det i perioder.

Ruteren er en 3Com OfficeConnect Wireless 108MBps Wireless/DLS ruter med nyeste firmware installert.

 

Har opplevd å måtte resette den en gang i blant, men nå er det jo flere ganger om dagen. Og når nettet detter ut, så detter det skikkelig ut, og jeg må fysisk ut å ta strømmen.

Før datt det ut, tok noen sekunder, og kom opp igjen.

 

Jeg får ikke koblet meg opp på ruteren via 192.168.1.1 heller når nettet detter ut, men nettet står i listen over tilgjengelige nett.

 

Nettet er kryptert med WPA2-PSK. Per dags dato bruker to bærbare og to HTC telefoner den trådløse delen.

Det er koblet en switch fra ruteren og til de stasjonære pcene mine.

 

Her er security loggen rett etter siste omstart, og der står det noe om DoS angrep:

 

(none) Dec 8 21:59:25 klogd: SYNCFLOODIN=ae1 OUT= MAC=00:1e:c1:aa:a1:09:00:25:84:57:52:d9:08:00:45:00:00:34 SRC=206.16.112.43 DST=212.251.134.252 LEN=52 TOS

=0x00 PREC=0x00 TTL=234 ID=59194 DF PROTO=TCP SPT=57443 DPT=33169 WINDOW=4142 RES=0x00 ACK FIN URGP=0

(none) Dec 8 21:59:32 klogd: SYNCFLOODIN=ae1 OUT= MAC=00:1e:c1:aa:a1:09:00:25:84:57:52:d9:08:00:45:00:00:34 SRC=206.16.112.43 DST=212.251.134.252 LEN=52 TOS

=0x00 PREC=0x00 TTL=234 ID=62158 DF PROTO=TCP SPT=57443 DPT=33169 WINDOW=4142 RES=0x00 ACK FIN URGP=0

(none) Dec 8 21:59:35 DoS attacking : [486]: Detect the SYNCFLOOD attack

(none) Dec 8 21:59:35 klogd: To stop GPIO 3 blinking ... successful

(none) Dec 8 22:01:46 klogd: SYNCFLOODIN=ae1 OUT= MAC=00:1e:c1:aa:a1:09:00:25:84:57:52:d9:08:00:45:00:00:59 SRC=74.125.77.188 DST=212.251.134.252 LEN=89 TOS

=0x00 PREC=0x00 TTL=47 ID=21879 PROTO=TCP SPT=5228 DPT=59872 WINDOW=106 RES=0x00 ACK PSH URGP=0

(none) Dec 8 22:01:48 DoS attacking : [486]: Detect the SYNCFLOOD attack

(none) Dec 8 22:01:49 klogd: To stop GPIO 3 blinking ... successful

(none) Dec 8 22:01:55 klogd: SYNCFLOODIN=ae1 OUT= MAC=00:1e:c1:aa:a1:09:00:25:84:57:52:d9:08:00:45:00:00:59 SRC=74.125.77.188 DST=212.251.134.252 LEN=89 TOS

=0x00 PREC=0x00 TTL=47 ID=21880 PROTO=TCP SPT=5228 DPT=59872 WINDOW=106 RES=0x00 ACK PSH URGP=0

(none) Dec 8 22:02:25 DoS attacking : [486]: Detect the SYNCFLOOD attack

(none) Dec 8 22:02:25 klogd: To stop GPIO 3 blinking ... successful

(none) Dec 8 22:02:25 klogd: To stop GPIO 3 blinking ... successful

 

Har jeg problemer eller ikke? Har ikke fast IP, men har et domene som er koblet opp mot webserveren her hjemme, og bruker DynDNS til å holde domenet oppdatert med den alltid gjellende IP adressen.

 

Ironisk er dette domenet SKYNET...så kanskje noen vil hindre meg i å ta over verden.... :!:

[Kakeshoma]

Kan se ut som du er under angrep ja...

Ta kontakt med ISPen din og send dem loggene du har over tilfellene.

Har du webservern i et DMZ? Er nok også lurt med et oppgående IPS.

[myhken]

Kun noen få porter som er åpne i ruteren, så ingen DMZ nei. Noen porter til webserveren, noen porter til et par andre servere og det er det. (f.eks en RDC server som er inngangsporten til nettverket mitt utenfra)

 

Bruker Canal Digital så vet ikke om de kommer inn under "oppegående" IPS???

[Kakeshoma]

Kun noen få porter som er åpne i ruteren, så ingen DMZ nei. Noen porter til webserveren, noen porter til et par andre servere og det er det. (f.eks en RDC server som er inngangsporten til nettverket mitt utenfra)

 

Bruker Canal Digital så vet ikke om de kommer inn under "oppegående" IPS???

 

Tenkte på Intrusion Prevention System ISP er Canal Digital.

Greit med en brannmur mellom nett og router når man har litt sårbare ting innenfor.

 

Men send loggene til dem, selvom det ikke er sikkert om det er så mye de kan gjøre ettersom angriper sjelden bruker en ekte IP.

Når du merker det begynner å gå tregt kan du bruke denne kommandoen i CMD "netstat -n -p tcp" og se etter mange linjer som viser SYN_Received.

[myhken]

Takker...får kikke litt på firewall løsninger da...noe å anbefale sånn sent en onsdags kveld? Som ikke koster så mye at jeg må ta ned bildene fra veggene mine å gi dem bort i julegave i år :!:

[Kakeshoma]

Takker...får kikke litt på firewall løsninger da...noe å anbefale sånn sent en onsdags kveld? Som ikke koster så mye at jeg må ta ned bildene fra veggene mine å gi dem bort i julegave i år :!:

 

SELGER DU JULEGAVER??

 

Et veldig bra gratis alternativ er å bruke en gammel maskin du har slengene (du har det ikke sant? Sjekk maskinvarekrav på siden) slenge i to nettverktkort og installere Untangle på den.

Untangle er en veldig avansert linuxbasert sikkerhetsløsning, du kan sjekke Untangles wiki for svar på hvordan ting settes opp.

Attack Blocker

Endret 8. desember 2010 av Kakeshoma

[myhken]

hmm..ingen fysisk maskin til overs her hjemme nei, det som ikke er i bruk, er enten kastet eller gitt bort.

Og en virtuell pc vil jo ikke funke, siden den må være innenfor ruteren for å funke...

 

Får se hvor plagsomt dette blir, om det øker i styrke osv. Eventuelt kjøre domenet over til en server på nett.