T-DSL 130 **Smurf**, **SYN Flood** was tun? |
||
---|---|---|
#0
| ||
15.07.2003, 11:34
...neu hier
Beiträge: 4 |
||
|
||
12.08.2003, 11:49
...neu hier
Beiträge: 4 |
#2
Bekam heute den gleiche Fehler gegen 9:15
Keine Internetseiten - keine Mails mehr abrufbar. Ping und Tracert hingegen waren in Ordnung. Das Problem hatte nichts mit dem Router zu tun. Hab dann das Programm MS-Config unter Windows XP eingesetzt Dort hatte ich eine Datei msblast.exe unter "Startup" gefunden. Das Suchergebnis in Windows\System32: msblast.exe in Windows\Prefetch: MSBLAST.EXE-09FF84F2.pf Nach Umbenennung beider Dateien rennt wieder meine Kiste und der Fehler ist im Nirwanna verdunstet |
|
|
||
12.08.2003, 12:08
Member
Beiträge: 813 |
#3
Bitte mal hier schauen:
http://board.protecus.de/t5696.htm __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
12.08.2003, 12:30
Ehrenmitglied
Beiträge: 831 |
#4
Es handelt sich in diesem Fall um eine DoS Attacke (Diensterschöpfungsangriff).
Auch Denial of Services Attack genannt. Smurf ist eine fällt unter den Begriff "Ressource Exhousting Attack" (eng. Schreibfehler sind inbegriffen) Bei dieser Art von Angriff wird das Betriebssystem/Dienst mit so vielen Anfragen überhauft , so das es nicht mehr für Machine und Mensch nutzbar ist. Die Synfloodattacke ist eine Spezielle Variante hierzu. Mich wundert es das ihr einen DoS Angriff mittels smurf habt. Der Wurm (s. forge77) sollte dies normal nicht auslösen. Selbst wenn er eine ähnliche Variante der smurf-attacke benutzt , ist das ziel Mircosoft und nicht irgendeine Private IP-Adresse. *edit* Könnte mir mal jemand diese Datei per mail an poiin2000 at protecus.de .de schicken? Wenn ich es mir nocheinmal durchlese. Ihr seid vom Wurm infiziert welcher einen smurf-angriff auf Microsoft macht. Euer PC ist nicht opfer sondern handler (ausführer). Dies erinnert an die DDoS Attacke. Ich werde morgen Nachmittag mehr darüber schreiben. Auf jedenfall ist es sehr interessant. mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
22.09.2003, 00:06
...neu hier
Beiträge: 1 |
#5
Ich hab genau das gleiche Problem (bin auf der Suche nach einer Lösung auf dieses Forum gestossen ), und habe folgende zusätzliche Beobachtungen gemacht:
Wenn ich eine Serie von Syn Floods bekommen habe und gar nix mehr geht (hinsichtlich internet), dann kann ich wieder zugriff bekommen, indem ich die firewall des routers deaktiviere - dann geht's wieder. Wenn ich die Firewall nach einer Weile wieder einschalte, dann ist sie jedoch immernoch "dicht", kein normaler Datenverkehr möglich. Beim nächsten Syn Flood ist dann jedoch endgültig schluss, da hilft auch die ersatzmässig eingesetzte Softwarefirewall nicht. In diesem Fall kann ich auf den Router gar nicht mehr zugreifen. MSBlast hab ich auf meinem System nicht gefunden. PS: http://192.168.2.1/system_r.stm Dort kann man einen Soft Reset machen, welcher eigentlich das gleiche machen sollte, wie "Stecker raus - Stecker rein" - so erspart man sich zumindest den Weg zum Router. Ich hab's allerdings noch nicht probiert...das ist aber nur eine Frage der Zeit PPS: Es funktioniert - allerdings offenbar nur einmal, beim nächsten mal nach dem soft reset konnte ich auf den Router nicht mehr zugreifen, da musste wieder der Stecker gezogen werden. Das kann aber auch Zufall sein, ich hab es bisher nur einmal probiert. jwu Dieser Beitrag wurde am 22.09.2003 um 17:11 Uhr von jwu editiert.
|
|
|
||
12.11.2003, 20:51
...neu hier
Beiträge: 2 |
#6
Bei mir ist genau das gleiche Problem... Irgendwann kackt der Router ab, schaue ich mir das logfile an, ist alles voll mit dem smurf... Habe mal einen Teil aus dem logfile kopiert:
11/12/2003 20:40:13 192.168.2.100 login success 11/12/2003 20:40:00 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4033 (from PPPOE) 11/12/2003 20:39:55 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4033 (from PPPOE) 11/12/2003 20:39:52 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4033 (from PPPOE) 11/12/2003 20:39:19 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3561 (from PPPOE) 11/12/2003 20:39:13 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3561 (from PPPOE) 11/12/2003 20:39:10 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3561 (from PPPOE) 11/12/2003 20:32:09 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4106 (from PPPOE) 11/12/2003 20:32:02 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4106 (from PPPOE) 11/12/2003 20:32:00 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 4106 (from PPPOE) 11/12/2003 20:18:41 192.168.2.100 login success 11/12/2003 20:18:08 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3878 (from PPPOE) 11/12/2003 20:18:02 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3878 (from PPPOE) 11/12/2003 20:17:59 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3878 (from PPPOE) 11/12/2003 20:12:08 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3025 (from PPPOE) 11/12/2003 20:12:02 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3025 (from PPPOE) 11/12/2003 20:11:59 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3025 (from PPPOE) 11/12/2003 20:07:09 NTP Date/Time updated 11/12/2003 20:06:07 Begin to query NTP 11/12/2003 19:53:08 **smurf** 12.208.118.255, 4662->> 192.168.2.100, 3521 (from PPPOE) Der Port 4662 kommt mir irgendwie bekannt vor. Wird nämlich bei eMule verwendet... Kann die Attacke von da kommen? Außerdem habe ich nach dem msblast gesucht, aber nichts gefunden. Hatte mir auch vor einigen Monaten den Patch für XP bei Microsoft runterzogen und installiert. Und der NAV ist auch auf dem neuesten Stand, der findet ebenfalls nichts. Und immer, wenn eine solche Attacke kommt, hilft in 90% der Fälle nur ein Neustart des Routers. Und die Firewll will ich erst garnicht ausschalten... ;-) Würde es eigentlich was nützen, die im logfile gespeicherte IP mal durch einen Portscanner zu jagen und schauen, was rauskommt? |
|
|
||
13.11.2003, 14:39
...neu hier
Beiträge: 2 |
#7
Hmmm, vielleicht hätte ich vorher mal die Suche benutzen sollen und die anderen Beiträge zum Thema "SYN Flood" lesen sollen...
|
|
|
||
12.12.2004, 20:20
...neu hier
Beiträge: 1 |
#8
hatte sowas in der Art auch, hat von hoppla auf plötzlich aufgehört.
Kann man davon ausgehen dass, die erste IP bei diesem **smurf**-Attacken die des Urhebers ist? Weil wenn, dann könnte man doch mal den Rechtsweg in diese Richtung testen? Dieser Beitrag wurde am 12.12.2004 um 20:21 Uhr von Akerbos editiert.
|
|
|
||
bin neu hier deshalb bin ich mir nicht ganz sicher ob das posting hier reinpasst oder nicht @Admit bitte verschieben wenn nötig
ich hab da ein riesen problem mit meinem Router, im protokoll(zeigt dia aktivitäten des routers an) sthen da oft so meldungen wie **smurf** dahinter irgendeine IP und dann gehst zu den Ports des routers die freigeschaltet sind, dasgleiche passiert auch mit** SYN Flood**.
hab im internet schon rausgefunden dass es irgendwelche häcker spielchen sind, kenn mich aber zu wenig mit computer aus um genaueres zu wissen.
aufjedenfall hängt sich dann der router(+ modem+ WLAN) nach ner weile auf und nichts geht mehr, es hilft nur ein neustart des geräts.sobald sich der router eingewählt hat kann ich nur mit mühe auf ihn zugreifen da in 9 von 10 fällen die meldung erscheint"falsches passwort" ist der router aber offline gehts ohne probs.hilf ein reset des routers vielleicht? ansonsten bin ich ratlos!!!
so das wars fürs erste, danke für euere hilfe
PS: hab den NortonAntiVirus 2003 laufen lassen er hat nicht gefunden