עבור לתוכן

לוג מהראוטר

על-ידי eliXir
ב רשתות ואינטרנט

Featured Replies

פורסם

האינטרנט שלי איטי בצורה מטורפת מאז שפירמטתי.. זה מתבטא בעיקר בהורדות (מוריד על 10-20 קילו בייט ממקומות שהייתי מוריד על 200).

זה בעיקרון הפתיח לשאלה הבאה: נכנסתי ללוג של הראוטר שלי ויש שם משהו שאף פעם לא ראיתי. כל הלוג מפוצץ בהודעות כאלו:

2006.09.17 05:38:01 **IP Spoofing** 127.0.0.1, 80->> 88.152.99.90, 1959 (from ATM Inbound)

2006.09.17 04:31:26 **SYN Flood to Host** 192.168.1.2, 1504->> 64.236.46.63, 80 (from ATM Outbound)

2006.09.17 02:30:14 **UDP Flood to Host** 192.168.1.3, 3636->> 151.44.140.215, 1024 (from ATM Outbound)

לפי מה שמצאתי בגוגל לגבי ה IP SPOOFING זה אומר שהאקרים מנסים לפרוץ לי למחשב או משהו כזה.. אני חושב. מה לעשות?

  • ציטוט
    • פורסם

    הניחוש שלי הוא שהמחשב שלך הוא zombie ( מקור להתקפות denial of service )

    אני ידע בוודאות רק אחרי שתשלח לי את ה LOG המלא

    IP SPOOFING זה פשוט שימוש ב IP פאקט שהכתובת מקור של אותו פאקט מזוייפת.

    יש לזה מגוון שימושים הרבה מהם גם קשורים ל denial of service.

    בכל מקרה אם הראוטר שלך מודיע לך על IP SPOOFING זה בדרך כלל אומר שנשלח פאקט

    מהרשת הפנימית שלך עם IP source לא קשור וזה חלק בלתי נפרד מהתקפת ה UDP Flood ובמיוחד ה SYN Flood

    דרך אגב תריץ אנטי וירוס

  • ציטוט
    • פורסם
    • מחבר

    אין ווירוסים.

    2006.09.17 10:17:58 192.168.1.3 login success

    2006.09.17 10:17:54 User from 192.168.1.3 timed out

    2006.09.17 09:58:46 sending ACK to 192.168.1.2

    2006.09.17 08:42:07 192.168.1.3 login success

    2006.09.17 05:57:36 **IP Spoofing** 127.0.0.1, 80->> 88.152.99.90, 1473 (from ATM Inbound)

    2006.09.17 05:38:20 sending ACK to 192.168.1.3

    2006.09.17 05:38:01 **IP Spoofing** 127.0.0.1, 80->> 88.152.99.90, 1959 (from ATM Inbound)

    2006.09.17 05:10:48 **IP Spoofing** 127.0.0.1, 80->> 88.152.99.90, 1158 (from ATM Inbound)

    2006.09.17 05:09:42 **IP Spoofing** 127.0.0.1, 80->> 88.152.99.90, 1012 (from ATM Inbound)

    2006.09.17 04:31:26 **SYN Flood to Host** 192.168.1.2, 1504->> 64.236.46.63, 80 (from ATM Outbound)

    2006.09.17 04:31:05 **SYN Flood to Host** 192.168.1.2, 1479->> 64.236.46.8, 80 (from ATM Outbound)

    2006.09.17 04:31:04 **SYN Flood to Host** 192.168.1.2, 1467->> 64.236.46.22, 80 (from ATM Outbound)

    2006.09.17 04:30:44 **SYN Flood to Host** 192.168.1.2, 1442->> 64.236.46.29, 80 (from ATM Outbound)

    2006.09.17 04:30:43 **SYN Flood to Host** 192.168.1.2, 1430->> 64.236.46.47, 80 (from ATM Outbound)

    2006.09.17 04:30:28 **SYN Flood to Host** 85.116.31.2, 37445->> 88.152.99.90, 1080 (from ATM Inbound)

    2006.09.17 04:30:23 **SYN Flood to Host** 192.168.1.2, 1404->> 64.236.46.71, 80 (from ATM Outbound)

    2006.09.17 04:30:22 **SYN Flood to Host** 192.168.1.2, 1392->> 64.236.46.46, 80 (from ATM Outbound)

    2006.09.17 04:30:02 **SYN Flood to Host** 192.168.1.2, 1365->> 64.236.46.21, 80 (from ATM Outbound)

    2006.09.17 04:30:01 **SYN Flood to Host** 192.168.1.2, 1352->> 64.236.46.39, 80 (from ATM Outbound)

    2006.09.17 04:29:40 **SYN Flood to Host** 192.168.1.2, 1326->> 64.236.46.5, 80 (from ATM Outbound)

    2006.09.17 03:58:50 sending ACK to 192.168.1.2

    2006.09.17 03:58:49 sending OFFER to 192.168.1.2

    2006.09.17 02:30:14 **UDP Flood to Host** 192.168.1.3, 3636->> 151.44.140.215, 1024 (from ATM Outbound)

    2006.09.17 02:28:40 **UDP Flood to Host** 192.168.1.3, 3636->> 88.113.151.59, 27223 (from ATM Outbound)

    2006.09.17 02:28:35 **UDP Flood to Host** 192.168.1.3, 3636->> 217.70.50.178, 24439 (from ATM Outbound)

    2006.09.17 02:28:20 **UDP Flood to Host** 192.168.1.3, 3636->> 83.250.13.171, 18369 (from ATM Outbound)

    2006.09.17 02:27:28 **UDP Flood to Host** 192.168.1.3, 3636->> 87.3.143.143, 33366 (from ATM Outbound)

    2006.09.17 02:27:12 **UDP Flood to Host** 192.168.1.3, 3636->> 217.211.253.7, 17431 (from ATM Outbound)

    2006.09.17 02:27:00 **UDP Flood to Host** 192.168.1.3, 3636->> 212.149.248.145, 11469 (from ATM Outbound)

    2006.09.17 02:26:58 **UDP Flood to Host** 192.168.1.3, 3636->> 82.55.164.87, 11469 (from ATM Outbound)

    2006.09.17 02:26:54 **UDP Flood to Host** 192.168.1.3, 3636->> 213.67.196.20, 17041 (from ATM Outbound)

    2006.09.17 02:26:18 **UDP Flood to Host** 192.168.1.3, 3636->> 213.64.1.106, 17304 (from ATM Outbound)

    2006.09.17 02:26:02 **UDP Flood to Host** 192.168.1.3, 3636->> 85.103.31.4, 6881 (from ATM Outbound)

    2006.09.17 02:25:51 **UDP Flood to Host** 192.168.1.3, 3636->> 84.0.147.95, 2566 (from ATM Outbound)

    2006.09.17 02:25:19 **UDP Flood to Host** 192.168.1.3, 3636->> 85.224.44.70, 29866 (from ATM Outbound)

    2006.09.17 02:24:50 **UDP Flood to Host** 192.168.1.3, 3636->> 83.227.91.74, 13970 (from ATM Outbound)

    2006.09.17 02:24:26 **UDP Flood to Host** 192.168.1.3, 3636->> 83.89.117.60, 16599 (from ATM Outbound)

    2006.09.17 02:24:03 **UDP Flood to Host** 192.168.1.3, 3636->> 89.102.43.37, 3804 (from ATM Outbound)

    2006.09.17 02:23:55 **UDP Flood to Host** 192.168.1.3, 3636->> 217.211.69.136, 25778 (from ATM Outbound)

    2006.09.17 02:23:41 **UDP Flood to Host** 192.168.1.3, 3636->> 89.138.98.54, 27414 (from ATM Outbound)

    2006.09.17 02:23:16 **UDP Flood to Host** 192.168.1.3, 3636->> 84.230.142.83, 14582 (from ATM Outbound)

    2006.09.17 02:22:45 **UDP Flood to Host** 192.168.1.3, 3636->> 81.234.116.101, 18199 (from ATM Outbound)

    2006.09.17 02:22:44 **UDP Flood to Host** 192.168.1.3, 3636->> 121.44.70.65, 13199 (from ATM Outbound)

    2006.09.17 02:22:02 **UDP Flood to Host** 192.168.1.3, 3636->> 83.252.84.177, 2044 (from ATM Outbound)

    2006.09.17 02:21:53 **UDP Flood to Host** 192.168.1.3, 3636->> 84.55.77.201, 18165 (from ATM Outbound)

    2006.09.17 02:21:24 **UDP Flood to Host** 192.168.1.3, 3636->> 151.42.85.98, 28177 (from ATM Outbound)

    2006.09.17 02:21:05 **UDP Flood to Host** 192.168.1.3, 3636->> 81.197.144.90, 17771 (from ATM Outbound)

    2006.09.17 02:21:04 **UDP Flood to Host** 192.168.1.3, 3636->> 87.197.199.133, 1965 (from ATM Outbound)

    2006.09.17 02:21:00 **UDP Flood to Host** 192.168.1.3, 3636->> 212.235.136.101, 5000 (from ATM Outbound)

    2006.09.17 02:20:47 **UDP Flood to Host** 192.168.1.3, 3636->> 217.208.65.2, 3706 (from ATM Outbound)

    2006.09.17 02:20:31 **UDP Flood to Host** 192.168.1.3, 3636->> 85.24.184.41, 11469 (from ATM Outbound)

    2006.09.17 02:20:25 **UDP Flood to Host** 192.168.1.3, 3636->> 85.194.207.134, 29698 (from ATM Outbound)

    2006.09.17 02:20:14 **UDP Flood to Host** 192.168.1.3, 3636->> 85.100.175.8, 4365 (from ATM Outbound)

    2006.09.17 02:19:49 **UDP Flood to Host** 192.168.1.3, 3636->> 62.195.156.42, 343 (from ATM Outbound)

    2006.09.17 02:19:14 **UDP Flood to Host** 192.168.1.3, 3636->> 62.248.238.201, 10014 (from ATM Outbound)

    2006.09.17 02:19:13 **UDP Flood to Host** 192.168.1.3, 3636->> 85.227.151.209, 1416 (from ATM Outbound)

    2006.09.17 02:19:10 **UDP Flood to Host** 192.168.1.3, 3636->> 151.41.196.164, 1755 (from ATM Outbound)

    2006.09.17 02:18:05 **UDP Flood to Host** 192.168.1.3, 3636->> 24.126.231.71, 11469 (from ATM Outbound)

    2006.09.17 02:17:25 **UDP Flood to Host** 192.168.1.3, 3636->> 81.97.31.157, 21080 (from ATM Outbound)

    2006.09.17 02:17:19 **UDP Flood to Host** 192.168.1.3, 3636->> 89.173.26.12, 6404 (from ATM Outbound)

    2006.09.17 02:16:45 **UDP Flood to Host** 192.168.1.3, 3636->> 83.29.1.130, 1414 (from ATM Outbound)

    2006.09.17 02:16:38 **UDP Flood to Host** 192.168.1.3, 3636->> 172.173.15.213, 6642 (from ATM Outbound)

    2006.09.17 02:16:15 **UDP Flood to Host** 192.168.1.3, 3636->> 81.235.222.99, 25899 (from ATM Outbound)

    2006.09.17 02:16:03 **UDP Flood to Host** 192.168.1.3, 3636->> 81.197.114.89, 19603 (from ATM Outbound)

    2006.09.17 02:16:02 **UDP Flood to Host** 192.168.1.3, 3636->> 82.181.187.40, 25228 (from ATM Outbound)

    2006.09.17 02:15:41 **UDP Flood to Host** 192.168.1.3, 3636->> 80.217.126.223, 5283 (from ATM Outbound)

    2006.09.17 02:15:31 **UDP Flood to Host** 192.168.1.3, 3636->> 84.250.104.176, 11469 (from ATM Outbound)

    2006.09.17 02:15:19 **UDP Flood to Host** 192.168.1.3, 3636->> 84.71.109.203, 7865 (from ATM Outbound)

    2006.09.17 02:15:15 **UDP Flood to Host** 192.168.1.3, 3636->> 83.233.241.30, 25114 (from ATM Outbound)

    2006.09.17 02:15:10 **UDP Flood to Host** 192.168.1.3, 3636->> 81.224.95.67, 17943 (from ATM Outbound)

    2006.09.17 02:14:34 **UDP Flood to Host** 192.168.1.3, 3636->> 82.59.86.83, 4321 (from ATM Outbound)

    2006.09.17 02:14:22 **UDP Flood to Host** 192.168.1.3, 3636->> 195.56.183.132, 31965 (from ATM Outbound)

    2006.09.17 02:14:12 **UDP Flood to Host** 192.168.1.3, 3636->> 83.233.64.71, 1338 (from ATM Outbound)

    2006.09.17 02:13:36 **UDP Flood to Host** 192.168.1.3, 3636->> 83.184.209.202, 11469 (from ATM Outbound)

    2006.09.17 02:13:04 **UDP Flood to Host** 192.168.1.3, 3636->> 89.166.13.252, 19572 (from ATM Outbound)

    2006.09.17 02:12:54 **UDP Flood to Host** 192.168.1.3, 3636->> 81.197.37.115, 11163 (from ATM Outbound)

    2006.09.17 02:12:47 **UDP Flood to Host** 192.168.1.3, 3636->> 80.223.186.85, 13977 (from ATM Outbound)

    2006.09.17 02:12:28 **UDP Flood to Host** 192.168.1.3, 3636->> 62.131.234.164, 9999 (from ATM Outbound)

    2006.09.17 02:12:03 **UDP Flood to Host** 192.168.1.3, 3636->> 85.24.184.41, 11469 (from ATM Outbound)

    2006.09.17 02:11:51 **UDP Flood to Host** 192.168.1.3, 3636->> 81.182.152.53, 11745 (from ATM Outbound)

    2006.09.17 02:11:41 **UDP Flood to Host** 192.168.1.3, 3636->> 213.113.177.192, 2002 (from ATM Outbound)

    2006.09.17 02:11:29 **UDP Flood to Host** 192.168.1.3, 3636->> 85.230.27.238, 17465 (from ATM Outbound)

    2006.09.17 02:11:13 **UDP Flood to Host** 192.168.1.3, 3636->> 84.231.195.57, 10498 (from ATM Outbound)

    2006.09.17 02:11:08 **UDP Flood to Host** 192.168.1.3, 3636->> 82.52.59.163, 20 (from ATM Outbound)

    2006.09.17 02:10:52 **UDP Flood to Host** 192.168.1.3, 3636->> 83.11.52.238, 24338 (from ATM Outbound)

    2006.09.17 02:10:16 **UDP Flood to Host** 192.168.1.3, 3636->> 86.126.10.135, 28915 (from ATM Outbound)

    2006.09.17 02:09:58 **UDP Flood to Host** 192.168.1.3, 3636->> 217.208.218.75, 13518 (from ATM Outbound)

    2006.09.17 02:09:49 **UDP Flood to Host** 192.168.1.3, 3636->> 85.250.2.24, 7000 (from ATM Outbound)

    2006.09.17 02:09:21 **UDP Flood to Host** 192.168.1.3, 3624->> 84.250.240.242, 22945 (from ATM Outbound)

    2006.09.17 02:09:04 **UDP Flood to Host** 192.168.1.3, 3301->> 84.2.185.190, 31400 (from ATM Outbound)

    2006.09.17 02:08:42 **UDP Flood to Host** 192.168.1.3, 3301->> 81.224.220.53, 30369 (from ATM Outbound)

    2006.09.17 02:08:40 **UDP Flood to Host** 192.168.1.3, 3301->> 218.51.63.218, 18328 (from ATM Outbound)

    2006.09.17 02:08:37 **UDP Flood to Host** 192.168.1.3, 3301->> 84.220.85.96, 31828 (from ATM Outbound)

    2006.09.17 02:07:51 **UDP Flood to Host** 192.168.1.3, 3301->> 213.89.242.232, 20906 (from ATM Outbound)

    2006.09.17 02:07:37 **UDP Flood to Host** 192.168.1.3, 3301->> 80.221.130.184, 1412 (from ATM Outbound)

    2006.09.17 02:07:13 **UDP Flood to Host** 192.168.1.3, 3301->> 80.221.90.2, 11553 (from ATM Outbound)

    2006.09.17 02:06:55 **UDP Flood to Host** 192.168.1.3, 3301->> 213.89.214.189, 22967 (from ATM Outbound)

    2006.09.17 02:06:37 **UDP Flood to Host** 192.168.1.3, 3301->> 195.38.99.182, 1166 (from ATM Outbound)

    2006.09.17 02:06:25 **UDP Flood to Host** 192.168.1.3, 3301->> 85.226.133.128, 29081 (from ATM Outbound)

    2006.09.17 02:06:22 **UDP Flood to Host** 192.168.1.3, 3301->> 87.110.19.168, 26970 (from ATM Outbound)

    2006.09.17 02:06:17 **UDP Flood to Host** 192.168.1.3, 3301->> 81.197.125.125, 1412 (from ATM Outbound)

    2006.09.17 02:06:13 **UDP Flood to Host** 192.168.1.3, 3301->> 217.211.253.7, 28406 (from ATM Outbound)

    2006.09.17 02:05:49 **UDP Flood to Host** 192.168.1.3, 2750->> 151.42.117.61, 23663 (from ATM Outbound)

    2006.09.17 02:05:41 **UDP Flood to Host** 192.168.1.3, 2750->> 151.46.146.151, 4777 (from ATM Outbound)

    2006.09.17 02:05:21 **UDP Flood to Host** 192.168.1.3, 2750->> 88.113.111.150, 20482 (from ATM Outbound)

    2006.09.17 02:05:04 **UDP Flood to Host** 192.168.1.3, 2750->> 151.50.69.156, 20189 (from ATM Outbound)

    2006.09.17 02:04:51 **UDP Flood to Host** 192.168.1.3, 2750->> 222.153.47.1, 1503 (from ATM Outbound)

    2006.09.17 02:04:41 **UDP Flood to Host** 192.168.1.3, 2750->> 194.165.121.157, 1411 (from ATM Outbound)

    2006.09.17 02:03:54 **UDP Flood to Host** 192.168.1.3, 2750->> 82.76.42.172, 7492 (from ATM Outbound)

    2006.09.17 02:03:51 **UDP Flood to Host** 192.168.1.3, 2750->> 84.47.50.242, 2413 (from ATM Outbound)

    2006.09.17 02:03:30 **UDP Flood to Host** 192.168.1.3, 2750->> 85.24.161.208, 26867 (from ATM Outbound)

    2006.09.17 02:03:25 **UDP Flood to Host** 192.168.1.3, 2750->> 82.125.82.170, 15300 (from ATM Outbound)

    2006.09.17 02:03:08 **UDP Flood to Host** 192.168.1.3, 2750->> 153.19.214.29, 9585 (from ATM Outbound)

    2006.09.17 02:02:41 **UDP Flood to Host** 192.168.1.3, 2750->> 212.71.129.172, 12591 (from ATM Outbound)

    2006.09.17 02:02:04 **UDP Flood to Host** 192.168.1.3, 2750->> 87.3.167.49, 14553 (from ATM Outbound)

    2006.09.17 02:01:50 **UDP Flood to Host** 192.168.1.3, 2750->> 81.198.246.35, 9839 (from ATM Outbound)

    2006.09.17 02:01:38 **UDP Flood to Host** 192.168.1.3, 2750->> 192.168.0.2, 65200 (from ATM Outbound)

    2006.09.17 02:01:27 **UDP Flood to Host** 192.168.1.3, 2750->> 85.144.179.64, 3300 (from ATM Outbound)

    2006.09.17 02:01:23 **UDP Flood to Host** 192.168.1.3, 2750->> 85.194.207.134, 29698 (from ATM Outbound)

    2006.09.17 02:01:17 **UDP Flood to Host** 192.168.1.3, 2750->> 213.65.230.207, 28985 (from ATM Outbound)

    2006.09.17 02:01:02 **UDP Flood to Host** 192.168.1.3, 2750->> 83.209.35.221, 22987 (from ATM Outbound)

    2006.09.17 02:00:50 **UDP Flood to Host** 192.168.1.3, 2750->> 83.11.130.42, 26030 (from ATM Outbound)

    2006.09.17 02:00:27 **UDP Flood to Host** 192.168.1.3, 2750->> 217.208.244.170, 4339 (from ATM Outbound)

    2006.09.17 01:59:59 **UDP Flood to Host** 192.168.1.3, 4962->> 84.228.106.34, 15640 (from ATM Outbound)

    2006.09.17 01:59:25 **UDP Flood to Host** 192.168.1.3, 4962->> 213.180.97.35, 11469 (from ATM Outbound)

    2006.09.17 01:59:25 **UDP Flood to Host** 192.168.1.3, 4962->> 87.255.164.12, 412 (from ATM Outbound)

    2006.09.17 01:59:24 **UDP Flood to Host** 192.168.1.3, 4962->> 89.241.39.188, 21497 (from ATM Outbound)

    2006.09.17 01:59:15 **UDP Flood to Host** 192.168.1.3, 4962->> 84.250.229.222, 21497 (from ATM Outbound)

    2006.09.17 01:58:56 **UDP Flood to Host** 192.168.1.3, 4962->> 82.59.117.96, 5255 (from ATM Outbound)

    2006.09.17 01:58:55 **UDP Flood to Host** 192.168.1.3, 4962->> 81.197.5.115, 26035 (from ATM Outbound)

    2006.09.17 01:58:14 **UDP Flood to Host** 192.168.1.3, 4962->> 81.229.1.68, 25460 (from ATM Outbound)

    2006.09.17 01:58:08 **UDP Flood to Host** 192.168.1.3, 4962->> 87.0.146.32, 13169 (from ATM Outbound)

    2006.09.17 01:57:56 **UDP Flood to Host** 192.168.1.3, 4962->> 83.131.155.214, 20356 (from ATM Outbound)

    2006.09.17 01:57:40 **UDP Flood to Host** 192.168.1.3, 4962->> 83.253.108.64, 6047 (from ATM Outbound)

    2006.09.17 01:57:31 **UDP Flood to Host** 192.168.1.3, 4962->> 85.128.126.82, 18510 (from ATM Outbound)

    2006.09.17 01:56:49 **UDP Flood to Host** 192.168.1.3, 4962->> 84.220.85.96, 23880 (from ATM Outbound)

    2006.09.17 01:56:23 **UDP Flood to Host** 192.168.1.3, 4962->> 82.141.123.112, 19762 (from ATM Outbound)

    2006.09.17 01:56:22 **UDP Flood to Host** 192.168.1.3, 4962->> 62.241.213.45, 1412 (from ATM Outbound)

    2006.09.17 01:56:16 **UDP Flood to Host** 192.168.1.3, 4962->> 87.110.19.168, 26970 (from ATM Outbound)

    2006.09.17 01:56:04 **UDP Flood to Host** 192.168.1.3, 4962->> 89.120.2.42, 16826 (from ATM Outbound)

    2006.09.17 01:55:42 **UDP Flood to Host** 192.168.1.3, 4962->> 86.101.206.233, 21207 (from ATM Outbound)

    2006.09.17 01:55:39 **UDP Flood to Host** 192.168.1.3, 4962->> 151.46.238.227, 33336 (from ATM Outbound)

    2006.09.17 01:55:38 **UDP Flood to Host** 192.168.1.3, 4962->> 82.54.125.189, 18418 (from ATM Outbound)

    2006.09.17 01:55:36 **UDP Flood to Host** 192.168.1.3, 4962->> 86.123.98.134, 14419 (from ATM Outbound)

    2006.09.17 01:55:32 **UDP Flood to Host** 192.168.1.3, 4962->> 87.14.161.201, 26401 (from ATM Outbound)

    2006.09.17 01:55:19 **UDP Flood to Host** 192.168.1.3, 4962->> 80.232.90.110, 22529 (from ATM Outbound)

    2006.09.17 01:55:15 **UDP Flood to Host** 192.168.1.3, 4962->> 87.5.162.31, 9368 (from ATM Outbound)

    2006.09.17 01:54:56 **UDP Flood to Host** 192.168.1.3, 4962->> 82.181.187.40, 25228 (from ATM Outbound)

    2006.09.17 01:54:25 **UDP Flood to Host** 192.168.1.3, 4962->> 84.228.106.34, 15640 (from ATM Outbound)

    2006.09.17 01:54:20 **UDP Flood to Host** 192.168.1.3, 4962->> 62.183.203.147, 30571 (from ATM Outbound)

    2006.09.17 01:54:19 **UDP Flood to Host** 192.168.1.3, 4962->> 83.19.51.76, 22740 (from ATM Outbound)

    2006.09.17 01:53:41 **UDP Flood to Host** 192.168.1.3, 4962->> 86.127.28.220, 10711 (from ATM Outbound)

    2006.09.17 01:53:27 **UDP Flood to Host** 192.168.1.3, 4962->> 213.89.79.180, 26712 (from ATM Outbound)

    2006.09.17 01:52:37 **UDP Flood to Host** 192.168.1.3, 4962->> 88.209.207.86, 28233 (from ATM Outbound)

    2006.09.17 01:52:32 **UDP Flood to Host** 192.168.1.3, 4962->> 193.185.199.217, 11469 (from ATM Outbound)

    2006.09.17 01:52:22 **UDP Flood to Host** 192.168.1.3, 4962->> 83.250.39.26, 1500 (from ATM Outbound)

    2006.09.17 01:52:21 **UDP Flood to Host** 192.168.1.3, 4962->> 151.49.32.140, 11469 (from ATM Outbound)

    2006.09.17 01:52:11 **UDP Flood to Host** 192.168.1.3, 4962->> 82.197.242.74, 21330 (from ATM Outbound)

    2006.09.17 01:51:29 **UDP Flood to Host** 192.168.1.3, 4962->> 81.197.21.69, 13165 (from ATM Outbound)

    2006.09.17 01:51:01 **UDP Flood to Host** 192.168.1.3, 4962->> 82.53.51.29, 12509 (from ATM Outbound)

  • ציטוט
    • פורסם

    נראה לי שזה נורמלי וכך נראה firewall שעובד.

    הנה קטע מה logfile שלי. הוא נראה תמיד כך מאז שהתקנתי את הראוטר ולכן אני לא חושב שזה קשור לוירוסים או התקפה מכוונת עליך.


    2006/09/17 21:06:51 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:1400
    2006/09/17 21:06:53 : Blocked access attempt : TCP from 38.118.11.12:32772 to 89.0.23.132:1859
    2006/09/17 21:06:57 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:1400
    2006/09/17 21:06:59 : Blocked access attempt : TCP from 38.118.11.12:32772 to 89.0.23.132:1859
    2006/09/17 21:07:09 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:1400
    2006/09/17 21:07:11 : Blocked access attempt : TCP from 38.118.11.12:32772 to 89.0.23.132:1859
    2006/09/17 21:07:15 : Blocked access attempt : TCP from 82.66.205.137:6881 to 89.0.23.132:1462
    2006/09/17 21:07:20 : Blocked access attempt : TCP from 38.100.25.251:60387 to 89.0.23.132:1858
    2006/09/17 21:08:21 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:1400
    2006/09/17 21:08:23 : Blocked access attempt : TCP from 38.118.11.12:32772 to 89.0.23.132:1859
    2006/09/17 21:10:17 : Blocked access attempt : UDP from 65.54.227.125:3544 to 89.0.23.132:2304
    2006/09/17 21:11:08 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:1927
    2006/09/17 21:11:34 : Blocked access attempt : TCP from 38.99.76.36:80 to 89.0.23.132:2227
    2006/09/17 21:11:35 : Blocked access attempt : TCP from 125.22.62.134:20544 to 89.0.23.132:1604
    2006/09/17 21:11:47 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:2015
    2006/09/17 21:11:55 : Blocked access attempt : UDP from 62.90.42.54:53 to 89.0.23.132:2959
    2006/09/17 21:11:56 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:2015
    2006/09/17 21:12:05 : Blocked access attempt : UDP from 62.90.42.54:53 to 89.0.23.132:2967
    2006/09/17 21:12:20 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:1927
    2006/09/17 21:12:20 : Blocked access attempt : TCP from 200.176.145.219:6881 to 89.0.23.132:2151
    2006/09/17 21:12:32 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:2015
    2006/09/17 21:13:10 : Blocked access attempt : TCP from 38.99.76.36:80 to 89.0.23.132:2227
    2006/09/17 21:13:20 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:2015
    2006/09/17 21:13:35 : Blocked access attempt : TCP from 125.22.62.134:20544 to 89.0.23.132:1604
    2006/09/17 21:13:50 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:2139
    2006/09/17 21:13:55 : Blocked access attempt : UDP from 62.90.42.54:53 to 89.0.23.132:3013
    2006/09/17 21:13:56 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:2139
    2006/09/17 21:14:43 : Blocked access attempt : TCP from 38.100.26.37:37523 to 89.0.23.132:2673
    2006/09/17 21:15:08 : Blocked access attempt : TCP from 85.135.138.194:32459 to 89.0.23.132:1863
    2006/09/17 21:15:20 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:2139
    2006/09/17 21:15:34 : Blocked access attempt : TCP from 125.22.62.134:20544 to 89.0.23.132:1604
    2006/09/17 21:16:28 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:2301
    2006/09/17 21:17:08 : Blocked access attempt : TCP from 85.135.138.194:32459 to 89.0.23.132:1863
    2006/09/17 21:17:34 : Blocked access attempt : TCP from 125.22.62.134:20544 to 89.0.23.132:1604
    2006/09/17 21:17:53 : Blocked access attempt : TCP from 89.0.219.194:1946 to 89.0.23.132:5800
    2006/09/17 21:18:52 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:2301
    2006/09/17 21:19:08 : Blocked access attempt : TCP from 85.135.138.194:32459 to 89.0.23.132:1863
    2006/09/17 21:20:18 : Blocked access attempt : TCP from 200.176.145.219:6881 to 89.0.23.132:3092
    2006/09/17 21:20:46 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:2879
    2006/09/17 21:24:22 : Blocked access attempt : TCP from 68.188.83.35:2401 to 89.0.23.132:20019
    2006/09/17 21:25:45 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:3093
    2006/09/17 21:28:07 : Blocked access attempt : TCP from 213.52.242.21:80 to 89.0.23.132:3490
    2006/09/17 21:28:18 : Blocked access attempt : TCP from 192.168.1.21:80 to 89.0.23.132:3490
    2006/09/17 21:28:29 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:3221
    2006/09/17 21:28:40 : Blocked access attempt : TCP from 192.168.1.21:80 to 89.0.23.132:3490
    2006/09/17 21:29:17 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:3221
    2006/09/17 21:29:24 : Blocked access attempt : TCP from 192.168.1.21:80 to 89.0.23.132:3490
    2006/09/17 21:29:33 : Blocked access attempt : TCP from 213.52.242.21:80 to 89.0.23.132:3515
    2006/09/17 21:30:52 : Blocked access attempt : TCP from 192.168.1.21:80 to 89.0.23.132:3490
    2006/09/17 21:31:46 : Blocked access attempt : TCP from 82.64.176.14:28134 to 89.0.23.132:3627
    2006/09/17 21:32:05 : Blocked access attempt : TCP from 38.100.26.20:32770 to 89.0.23.132:3625
    2006/09/17 21:37:43 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:3703
    2006/09/17 21:39:08 : Blocked access attempt : TCP from 84.255.197.121:25172 to 89.0.23.132:3607
    2006/09/17 21:39:16 : Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:3703
    2006/09/17 21:40:50 : Blocked access attempt : TCP from 68.188.83.35:3291 to 89.0.23.132:20019
    2006/09/17 21:41:02 : Blocked access attempt : TCP from 85.201.95.12:6881 to 89.0.23.132:3708
    2006/09/17 21:41:49 : 192.168.1.2 login Unsuccessful
    2006/09/17 21:41:58 : 192.168.1.2 login Successful

  • ציטוט
    • פורסם

    אוקי אז ככה

    אחרי שאני מסתכל על הלוג הזה במשך 20 דקות הגעתי למסקנות מעניינות:

    נראה לי שכל מה שנרשם בלוג בין 17 01:51:01 ל 02:30:14 זה false positives

    2 סיבות עיקריות:

    1. ה source port משתנה רק פעמים בודדות, הרבה יותר סביר שזה service ולא UDP Flood - יכול להיות ששיחקת משחקי רשת,

    הפעלת תוכנות שיתוף או משהו אחר שמשתמש ב UDP

    2. היום UDP Flood נחשבת להתקפת DOS די נדירה בגלל שהיא יעילה רק במקרים בודדים, ההתקפה הזאת שולחת כמה שיותר UDP פאקטים

    לפורטים שבדרך כלל סגור כלומר הקורבן לא "מקשיב" על הפורט ולכן הוא יגיב בפאקט ICMP (ף TYPE 3 אם אני לא טועה... ), אם התוקף

    שולח מספיק פאקטים של UDP מה שקורה זה שהקורבן מציף את רוחב הפס של עצמו בפאקטים של ICMP הבעיה היא ש 99.9 אחוז מהפיירוולים

    חוסמים ICMP כ default וחלקם גם UDP... - לפי הלוג הזה ההתקפה הזאת בוצעה על הרבה מידי מחשבים, אני הייתי מצפה לראות התקפת DOS

    כזאת לא יעילה מבוצעת על מחשב אחד ( אם בכלל ניתן היום למצוא ברשת מחשב פגיע אליה... )

    sending ACK to 192.168.1.2

    sending OFFER to 192.168.1.2

    טוב זה LOG ל DHCP

    כל מה שנמצא בין 04:29:40 ל 04:31:26 אין לי מספיק מידע מהלוג הזה בשביל לדעת אם זה false positive או לא

    אני גם לא יודע איך המערכת החליטה ש 192.168.1.2 עשה SYN flood (אולי בגלל ש 192.168.1.2 לא הגיב ב ACK )

    יש לי תחושת בטן חזקה שזה שזה עוד false positive , תתצתרך לבדוק את זה עם sniffer

    **IP Spoofing** 127.0.0.1, 80->> 88.152.99.90, 1473

    את זה בכלל לא הבנתי איך הוא יכול לקבל פאקט עם כתובת מקור של 127.0.0.1 ב interface החיצוני שלו אם

    לא ניתן לנטוב את ה IP הזה

    בקיצור אני לא יכול להגיד לך ב 100% לגבי אם ברשת שלך יש זומבי.

    המידע שהלוג הזה הביא לי היה מאוד מצומצם בכל מקרה תשתמש ב sniffer בשביל תוצאות יותר מדויקות

    יש יותר סיכוי שזה מערכת IDS גרועה ולא התקפות DOS מהרשת שלך

  • ציטוט
    • פורסם
    • מחבר

    קודם כל תודה רבה אחי על ההשקעה בעזרה.

    מה זה ה-sniffer הזה?

    לא יודע אם זה קשור לעניין של הלוג, אבל האינטרנט שלי פשוט נהיה איטי.. גם באתרים כמו youtube.com לוקח לי שנים לעלות את הסרטונים, מה שלפני הפירמוט לקח לי צ'יק צ'ק. :-[

  • ציטוט
    • פורסם

    sniffer זה שם נרדף ל Network analyzer , זאת תוכנה שלוכדת את כל התנועה (שהיא קולטת) ברשת.

    והסיבה שאני מציא לך להשתמש באחד היא כדי שתוכל לדעת האם המחשב שלך מבצע SYN Flood או שזה

    באמת היה false positives כמו שאני חושד ואז תוכל להתחיל לבדוק גורמים אחרים שאולי גורמים לחיבור שלך להיות איטי.

    כי הבעיה הכי גדולה שנתקלתי היתה זה שבפיירוול יש מיני מערכת IDS לכן הוא עושה לוג רק למה שהוא חושב שצריך בלי לתת פרוט לצערי

    לדוגמה הנה קטע מהלוג של shlomom :

    Blocked access attempt : TCP from 83.153.124.221:11880 to 89.0.23.132:2139

    לפי הקטע הזה אני יודע שנשלח פאקט TCP אחד עם הדגל SYN מ 83.153.124.221 עם פורט מקור 11880 ל 89.0.23.132

    עם פורט יעד 2139

    והנה קטע מהלוג שלך:

    SYN Flood to Host** 192.168.1.2, 1504->> 64.236.46.63, 80 from ATM Outbound

    כל מה שאני יודע זה שקרה משהו שגרם למערכת ה IDS ( המיני IDS יותר נכון ) לחשוד שיש נסיון של 192.168.1.2 לבצע SYN flood

    על 64.236.46.63 , אני לא יכול לדעת לפי מה בדיוק המערכת החליטה את זה - אני אפילו לא יכול לדעת אם 192.168.1.2 היתה

    הכתובת מקור בפאטקט ( אם 192.168.1.2 היתה הכתובת מקור בפאקט אז כנראה זה לא היה נסיון SYN Flood ) ואני גם לא יודע

    כמה פאקטים נשלחו מ 192.168.1.2 .

    יש לי ניחוש לגבי מה שקרה: נראה לי 192.168.1.2 שלח פאקט SYN לגיטמי לחלטין לפורט 80 ב 64.236.46.63 ( כנראה גלשת באינטרנט)

    64.236.46.63 הגיב כמו שהוא אמור לעשות ב SYN/ACK לראוטר שלך הראוטר כמובן העביר את הפאקט למחשב שלך אבל הפאקט לא הגיע

    ליעד שלו לכן המחשב שלך לא הגיב ב ACK וזה גרם ל מערכת לחשוב שזה היה נסיון SYN Flood של 192.168.1.2 - זה הדבר הכי הגיוני

    שאני יכול לחשוב שקרה אבל אין לי מספיק מידע לאמת את זה.

    עכשיו החלק המעשי:

    תשיג לך sniffer תוודא שאתה לא עושה שום שימוש ברשת שלך במיוחד תכבה תוכנות שיתוף (אחרת תתבע בים של false positives )

    תפעיל אותו לכמה דקות, ואם אתה רואה הרבה פאקטים עם הדגל SYN וכתובת מקור לא קשורה לרשת שלך אז הלוג שלך צדק

    אם לא אז הבעיה כנראה לא קשורה לזה.

    דרך אגב כל sniffer יעשה את העבודה אני אשית ממליץ על Wireshark ( לשעבר Ethereal ) הוא חינם וקוד פתוח תוכל להוריד אותו

    ב http://www.wireshark.org/

    הדבר השני שאני ממליץ לך לעשות זה לבודד את הבעיה דבר ראשון תבדוק אם הבעיה היא בתוך הרשת שלך או מחוץ לרשת שלך

    אני מציע לך פשוט לעשות פינג ל interface הפנימי של הראוטר, בשביל לקבל תוצאות כמה שיותר מדויקות דוודא שזה ירוץ

    לפחות 15 דקות , פשוט תוסיף -t לפקודה לדוגמה:

    ping -t 192.168.1.1

    אגב בשביל לעצור תשתמש ב ctrl + C , אתה יכול גם ליצא את זה לקובץ טקסט ולעלות לי את זה.

  • ציטוט
    • פורסם

    תעלה שוב את הקובץ עם הסיומת pcap, אני רוצה ליבא את זה ל wireshark ולקורא את ה LOG בצורה נוחה (משהו

    שאני לא יכול לעשות עם קובץ txt )

  • ציטוט
    • פורסם

    הלינק לא עובד...

  • ציטוט
    • פורסם

    אוקי, אז ככה:

    לא מצאתי שום ניסיון לבצע SYN flood ו IP Spoofing מהמחשב שלך.

    אתה בטוח שכיבית את כל התוכנות שמשתמשות ברשת?

    אני מתכוון כל דבר כולל תוכנות כמו icq ,אם לא אז תעלה אחד חדש.

    בכל מקרה לפי הלוג יש לך כל מיני services שרצים על המחשב שלך

    אלה יכולים להיות services לגיטימיים או סוס טרויאני (בגלל זה שאלתי את השאלה הקודמת...)

    תבדוק מה מקשיב אצלך על 1097 UDP ( רוב התנועה מהמחשב שלך הייתה תנועת UDP עם הפורט הזה כפורט מקור )

    תבדוק גם את 1611 TCP ,אתה יכול להשתמש ב

    netstat -a

    בכל מקרה אם זה לא services שאתה מזהה ועדיין יש לך תנועה לא מזוהה ברשת כשאתה יודע בוודאות שאין שום תוכנה

    שעושה שימוש ברשת סביר להניח שזה סוס טרויאני או תולעת.

    יכול להיות גם שהבעיה שלך ממש לא קשורה לבעיות אבטחה אז תנסה גם את הקטע עם הפינג המתמשך שהצעתי לך

    אחרי שתפסול את מה שתארתי למעלה...

  • ציטוט
    • פורסם
    • מחבר

    עשיתי את העניין עם הפינג.. זה נשאר כל הזמן ללא שינוי, 1ms

    servqu0.jpg


    (C) Copyright 1985-2001 Microsoft Corp.

    C:\Documents and Settings\Administrator>netstat -a

    Active Connections

    Proto Local Address Foreign Address State
    TCP rel-e2z8l2b5r50:epmap rel-e2z8l2b5r50:0 LISTENING
    TCP rel-e2z8l2b5r50:microsoft-ds rel-e2z8l2b5r50:0 LISTENING
    TCP rel-e2z8l2b5r50:10324 rel-e2z8l2b5r50:0 LISTENING
    TCP rel-e2z8l2b5r50:1048 rel-e2z8l2b5r50:0 LISTENING
    TCP rel-e2z8l2b5r50:netbios-ssn rel-e2z8l2b5r50:0 LISTENING
    TCP rel-e2z8l2b5r50:1218 207.173.177.99:27039 CLOSE_WAIT
    TCP rel-e2z8l2b5r50:1453 207.173.177.170:27039 CLOSE_WAIT
    TCP rel-e2z8l2b5r50:1516 64.12.26.170:5190 ESTABLISHED
    TCP rel-e2z8l2b5r50:1595 68.142.72.250:27038 ESTABLISHED
    TCP rel-e2z8l2b5r50:1883 baym-cs217.msgr.hotmail.com:1863 ESTABLISHED
    TCP rel-e2z8l2b5r50:2305 masmails.com:14579 ESTABLISHED
    TCP rel-e2z8l2b5r50:2407 img100.imageshack.us:http CLOSING
    UDP rel-e2z8l2b5r50:microsoft-ds *:*
    UDP rel-e2z8l2b5r50:isakmp *:*
    UDP rel-e2z8l2b5r50:1036 *:*
    UDP rel-e2z8l2b5r50:1058 *:*
    UDP rel-e2z8l2b5r50:1130 *:*
    UDP rel-e2z8l2b5r50:1131 *:*
    UDP rel-e2z8l2b5r50:1134 *:*
    UDP rel-e2z8l2b5r50:1137 *:*
    UDP rel-e2z8l2b5r50:1147 *:*
    UDP rel-e2z8l2b5r50:1150 *:*
    UDP rel-e2z8l2b5r50:1376 *:*
    UDP rel-e2z8l2b5r50:1382 *:*
    UDP rel-e2z8l2b5r50:1423 *:*
    UDP rel-e2z8l2b5r50:1459 *:*
    UDP rel-e2z8l2b5r50:1892 *:*
    UDP rel-e2z8l2b5r50:4500 *:*
    UDP rel-e2z8l2b5r50:ntp *:*
    UDP rel-e2z8l2b5r50:1377 *:*
    UDP rel-e2z8l2b5r50:1450 *:*
    UDP rel-e2z8l2b5r50:1518 *:*
    UDP rel-e2z8l2b5r50:1900 *:*
    UDP rel-e2z8l2b5r50:2339 *:*
    UDP rel-e2z8l2b5r50:2386 *:*
    UDP rel-e2z8l2b5r50:3487 *:*
    UDP rel-e2z8l2b5r50:discard *:*
    UDP rel-e2z8l2b5r50:ntp *:*
    UDP rel-e2z8l2b5r50:netbios-ns *:*
    UDP rel-e2z8l2b5r50:netbios-dgm *:*
    UDP rel-e2z8l2b5r50:1900 *:*
    UDP rel-e2z8l2b5r50:17082 *:*

    C:\Documents and Settings\Administrator>
    Microsoft Windows XP [Version 5.1.2600]

  • ציטוט
    • פורסם

    עשיתי את העניין עם הפינג.. זה נשאר כל הזמן ללא שינוי, 1ms

    זה אומר שכנראה הבעיה היא מחוץ להרשת שלך - או לפחות הבעיה היא לא בשכבה הראשונה והשניה של ה OSI model ,

    במילים אחרות: זה לא הכבל או הכרטיס רשת (בתנאי שכמובן לא היו הרבה Lost packets ששכחת לספר לי עליהם...)

    לגבי המידע שפרסמת פה:

    אני לא רואה פה משהו חשוד...

    בכל מקרה בוא ננסה לפסול את זה אחת ולתמיד כי אנחנו מתעסקים עם זה הרבה מדי זמן

    תשיג לך Host based firewall שיכול לחסום מידע שבא מבפנים לא רק מבחוץ, אני אישית ממליץ

    על Zone alarm עבדתי איתו בעבר והוא ביצע את העבודה בצורה מצוינת הנה לינק:

    http://www.zonelabs.com/store/content/company/products/trial_zaFamily/trial_zaFamily.jsp?lid=home_freedownloads

    זה אמור למנוע מכל מיני malware גישה לרשת (אלא אם אתה מאשר את זה) , כמובן זה לא יעיל נגד 100% מה malware

    אבל רוב הזמן זה עובד.

    אם הבעיה נמשכת סביר להניח שזה לא קשור לבעיות אבטחה אלא לתשתית גרועה/עמוסה, ראוטר פגום (נדיר, במיוחד אם זה חברה כמו 3com)

    ובטח עוד כמה סיבות ששכחתי לציין, בכל מקרה תרגיש חופשי להרים טלפון לחברה שמספקת לך תשתית אחרי שתעשה את מה שאמרתי למעלה.

    שיהיה לך בהצלחה, אם אתה עדיין לא מצליח לאתר או לתקן את הבעיה אל תתבייש לשאול ( אפילו באימייל ), יש לי הרבה פנוי

    בשבועות האחרונים וזה ימשך לפחות עוד חודש, ולכן אני ישמח לעזור עד כמה שאני יכול...

  • ציטוט

    • ארכיון

    דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

    עבור לרשימת הדיונים

    דיונים חדשים