T-DSL 130 **Smurf**, **SYN Flood** was tun?

#1 hallo leute
bin neu hier deshalb bin ich mir nicht ganz sicher ob das posting hier reinpasst oder nicht @Admit bitte verschieben wenn nötig


ich hab da ein riesen problem mit meinem Router, im protokoll(zeigt dia aktivitäten des routers an) sthen da oft so meldungen wie **smurf** dahinter irgendeine IP und dann gehst zu den Ports des routers die freigeschaltet sind, dasgleiche passiert auch mit** SYN Flood**.
hab im internet schon rausgefunden dass es irgendwelche häcker spielchen sind, kenn mich aber zu wenig mit computer aus um genaueres zu wissen.
aufjedenfall hängt sich dann der router(+ modem+ WLAN) nach ner weile auf und nichts geht mehr, es hilft nur ein neustart des geräts.sobald sich der router eingewählt hat kann ich nur mit mühe auf ihn zugreifen da in 9 von 10 fällen die meldung erscheint"falsches passwort" ist der router aber offline gehts ohne probs.hilf ein reset des routers vielleicht? ansonsten bin ich ratlos!!!

so das wars fürs erste, danke für euere hilfe

PS: hab den NortonAntiVirus 2003 laufen lassen er hat nicht gefunden

#2 Bekam heute den gleiche Fehler gegen 9:15
Keine Internetseiten - keine Mails mehr abrufbar.
Ping und Tracert hingegen waren in Ordnung.
Das Problem hatte nichts mit dem Router zu tun.
Hab dann das Programm MS-Config unter Windows XP eingesetzt
Dort hatte ich eine Datei msblast.exe unter "Startup" gefunden.

Das Suchergebnis
in Windows\System32:
msblast.exe
in Windows\Prefetch:
MSBLAST.EXE-09FF84F2.pf

Nach Umbenennung beider Dateien rennt wieder meine Kiste
und der Fehler ist im Nirwanna verdunstet

#3 Bitte mal hier schauen:

http://board.protecus.de/t5696.htm
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#4 Es handelt sich in diesem Fall um eine DoS Attacke (Diensterschöpfungsangriff).
Auch Denial of Services Attack genannt.

Smurf ist eine fällt unter den Begriff "Ressource Exhousting Attack" (eng. Schreibfehler sind inbegriffen)

Bei dieser Art von Angriff wird das Betriebssystem/Dienst mit so vielen Anfragen überhauft , so das es nicht mehr für Machine und Mensch nutzbar ist.

Die Synfloodattacke ist eine Spezielle Variante hierzu.

Mich wundert es das ihr einen DoS Angriff mittels smurf habt.
Der Wurm (s. forge77) sollte dies normal nicht auslösen. Selbst wenn er eine ähnliche Variante der smurf-attacke benutzt , ist das ziel Mircosoft und nicht irgendeine Private IP-Adresse.

*edit*

Könnte mir mal jemand diese Datei per mail an poiin2000 at protecus.de .de schicken?

Wenn ich es mir nocheinmal durchlese.
Ihr seid vom Wurm infiziert welcher einen smurf-angriff auf Microsoft macht.
Euer PC ist nicht opfer sondern handler (ausführer).
Dies erinnert an die DDoS Attacke. Ich werde morgen Nachmittag mehr darüber schreiben.

Auf jedenfall ist es sehr interessant.



mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#5 Ich hab genau das gleiche Problem (bin auf der Suche nach einer Lösung auf dieses Forum gestossen ), und habe folgende zusätzliche Beobachtungen gemacht:
Wenn ich eine Serie von Syn Floods bekommen habe und gar nix mehr geht (hinsichtlich internet), dann kann ich wieder zugriff bekommen, indem ich die firewall des routers deaktiviere - dann geht's wieder. Wenn ich die Firewall nach einer Weile wieder einschalte, dann ist sie jedoch immernoch "dicht", kein normaler Datenverkehr möglich.
Beim nächsten Syn Flood ist dann jedoch endgültig schluss, da hilft auch die ersatzmässig eingesetzte Softwarefirewall nicht. In diesem Fall kann ich auf den Router gar nicht mehr zugreifen.

MSBlast hab ich auf meinem System nicht gefunden.

PS:
http://192.168.2.1/system_r.stm
Dort kann man einen Soft Reset machen, welcher eigentlich das gleiche machen sollte, wie "Stecker raus - Stecker rein" - so erspart man sich zumindest den Weg zum Router. Ich hab's allerdings noch nicht probiert...das ist aber nur eine Frage der Zeit
PPS: Es funktioniert - allerdings offenbar nur einmal, beim nächsten mal nach dem soft reset konnte ich auf den Router nicht mehr zugreifen, da musste wieder der Stecker gezogen werden. Das kann aber auch Zufall sein, ich hab es bisher nur einmal probiert.

jwu

#6 Bei mir ist genau das gleiche Problem... Irgendwann kackt der Router ab, schaue ich mir das logfile an, ist alles voll mit dem smurf... Habe mal einen Teil aus dem logfile kopiert:

11/12/2003 20:40:13 192.168.2.100 login success
11/12/2003 20:40:00 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4033 (from PPPOE)
11/12/2003 20:39:55 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4033 (from PPPOE)
11/12/2003 20:39:52 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4033 (from PPPOE)
11/12/2003 20:39:19 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3561 (from PPPOE)
11/12/2003 20:39:13 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3561 (from PPPOE)
11/12/2003 20:39:10 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3561 (from PPPOE)
11/12/2003 20:32:09 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4106 (from PPPOE)
11/12/2003 20:32:02 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4106 (from PPPOE)
11/12/2003 20:32:00 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4106 (from PPPOE)
11/12/2003 20:18:41 192.168.2.100 login success
11/12/2003 20:18:08 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3878 (from PPPOE)
11/12/2003 20:18:02 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3878 (from PPPOE)
11/12/2003 20:17:59 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3878 (from PPPOE)
11/12/2003 20:12:08 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3025 (from PPPOE)
11/12/2003 20:12:02 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3025 (from PPPOE)
11/12/2003 20:11:59 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3025 (from PPPOE)
11/12/2003 20:07:09 NTP Date/Time updated
11/12/2003 20:06:07 Begin to query NTP
11/12/2003 19:53:08 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3521 (from PPPOE)

Der Port 4662 kommt mir irgendwie bekannt vor. Wird nämlich bei eMule verwendet... Kann die Attacke von da kommen?

Außerdem habe ich nach dem msblast gesucht, aber nichts gefunden. Hatte mir auch vor einigen Monaten den Patch für XP bei Microsoft runterzogen und installiert. Und der NAV ist auch auf dem neuesten Stand, der findet ebenfalls nichts.

Und immer, wenn eine solche Attacke kommt, hilft in 90% der Fälle nur ein Neustart des Routers. Und die Firewll will ich erst garnicht ausschalten... ;-)


Würde es eigentlich was nützen, die im logfile gespeicherte IP mal durch einen Portscanner zu jagen und schauen, was rauskommt?

#7 Hmmm, vielleicht hätte ich vorher mal die Suche benutzen sollen und die anderen Beiträge zum Thema "SYN Flood" lesen sollen...

#8 hatte sowas in der Art auch, hat von hoppla auf plötzlich aufgehört.

Kann man davon ausgehen dass, die erste IP bei diesem **smurf**-Attacken die des Urhebers ist? Weil wenn, dann könnte man doch mal den Rechtsweg in diese Richtung testen?