DOS attack: FIN Scan

Staszek003 · 9 Październik 2011 09:44

Witam,

przez chwilę (jakąś 1 minutę) straciłem połączenie z internetem, więc zalogowałem się do routera (Netgear WGR614v9) i ujrzałem oto takie logi:

[Admin login] from source 192.168.1.3, Sunday, Oct 09,2011 11:24:20 [DHCP IP: (192.168.1.3)] to MAC address 90:A4:DE:2A:7D:9F, Sunday, Oct 09,2011 11:16:40 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.77.95], Sunday, Oct 09,2011 11:12:05 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.39.102], Sunday, Oct 09,2011 11:12:02 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.39.113], Sunday, Oct 09,2011 11:12:00 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.39.120], Sunday, Oct 09,2011 11:11:35 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.39.101], Sunday, Oct 09,2011 11:11:35 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.39.100], Sunday, Oct 09,2011 11:11:34 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.39.113], Sunday, Oct 09,2011 11:11:22 [internet connected] IP address: 10.101.25.25, Sunday, Oct 09,2011 11:10:56 [Admin login] from source 192.168.1.3, Sunday, Oct 09,2011 11:09:35 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.39.102], Sunday, Oct 09,2011 11:07:53 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.39.113], Sunday, Oct 09,2011 11:07:50 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.39.101], Sunday, Oct 09,2011 11:07:48 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.39.100], Sunday, Oct 09,2011 11:07:48 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.39.132], Sunday, Oct 09,2011 11:07:00 [DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.77.118], Sunday, Oct 09,2011 11:06:56 [Admin login] from source 192.168.1.3, Sunday, Oct 09,2011 11:06:32 [internet connected] IP address: 10.101.25.25, Sunday, Oct 09,2011 11:06:04 [internet disconnected] Sunday, Oct 09,2011 11:06:04 [internet connected] IP address: 10.101.25.25, Sunday, Oct 09,2011 11:04:57 [internet disconnected] Sunday, Oct 09,2011 11:04:57

Czy to oznacza, że ktoś mnie zaatakował? Wszystkie adresy IP odnoszą się do Google. Pierwszy raz spotyka mnie taka sytuacja, a od ostatniego ataku (11:12:05) nie mam już takiego wpisu. Czy jestem zagrożony, co powinienem zrobić? Sieć jest zabezpieczona i szyfrowana WPA2-PSK [AES]

krzych5610 · 9 Październik 2011 10:20

Proponuję instalację CIS 5.5 - http://www.dobreprogramy.pl/Comodo-Inte … 12952.html

Zmień standardowe ustawienia COMODO.

Konfiguracja - Ochrona Proaktywna ( Comodo Proactive Security )

Ustawienia Antywirusa - przy dostępie ( jest przy zmianach ), zabezpiecza USB

firewall / ustawienia zachowania zapory sieciowej / ustawienia ostrzeżeń / poziom ostrzegania - wysoki.

Polecenia poniżej " bardzo niski " pozostawiasz aktywne ( zaznaczone )

Firewall / ustawienia zachowania zapory sieciowej / zaawansowane // zaznaczyć wszystkie pozycje.

Firewall Comodo przejmie funkcję firewalla routera. Firewall na routerze możesz bez obaw wyłączyć.

Kreator ukrywania portów - pozycja druga jeżeli korzystasz z P2P, można też uruchomić pozycje trzecią, “Zablokuj połączenia przychodzące i ukryj porty tego komputera”

Dalsze ustawienia, otwórz:

Antywirus / Ustawienia skanera:

Skaner rezydentny / skanowanie pamięci ( tak ), aktualizacja baz ( tak ), pokazuj ostrzeżenia, p.s. heurystycznego - niski, nie skanować > 50MB
Skanowanie ręczne / zaznaczasz poz: 1 - 6. / p.s.h. - niski / nie skanować > 2000MB. Potwierdzić mimo ostrzeżenia.
Zaplanowane skanowanie / zaznaczasz poz: 1, 2, 4 - 8 / p.s.h. - wysoki / nie skanować > 2000MB. Potwierdzić mimo ostrzeżenia.

Wykonaj pełny skan

Na PC wpisujesz adresy DNS: 156.154.40.25 / 156.154.71.25. Zapewnisz sobie dodatkową ochronę przez serwery Comodo.

Staszek003 · 9 Październik 2011 10:24

Mam 3 laptopy - na każdym zainstalować CISa? Czy teraz jak nie mam zainstalowanego żadnego firewalla to znaczy, że ktoś może mnie podglądać (na 1 bądź wszystkich komputerach)? Dodam, że w routerze mam włączonego firewalla i NAT jest chroniony (zaznaczone jest secured)

krzych5610 · 9 Październik 2011 11:09

Tak. Mam podobny zestaw

– Dodane 09.10.2011 (N) 13:17 –

W firewall / ustawienia zachowania zapory / ustawienia ostrzeżeń // Ten komputer współdzieli swoje łącze internetowe. Pozostaje zaznaczone. Punktem wspólnym jest router.

Staszek003 · 9 Październik 2011 13:33

A tak w ogóle to możliwe, żeby Google mnie atakowało/skanowało? Jeśli tak to jaki to miało cel? Mam się czego bać?

system · 9 Październik 2011 15:56

Wiesz ja myślę, że to prostu fałszywy alarm. Nastąpiło przesyłanie pakietów z kilku adresów z serwera google.pl a, jak wiadomo ataki typu DOS polegają na uniemożliwieniu działanie poprzez zajęcie wszystkich wolnych zasobów. Dlatego firewall sprzętowy mógł to uznać za taki atak, ponieważ nastąpiło przesyłanie pakietów logicznych z różnych IP w krótkim odstępie czasu. Mogę się mylić, ale jakiś sens w tym jest, tak myślę.

Pozdrawiam

krzych5610 · 9 Październik 2011 16:49

Wg info na http://whois.domaintools.com/74.125.77.95

Nie wygląda to na fałszywki.

– Dodane 09.10.2011 (N) 18:51 –

[DOS attack: FIN Scan] attack packets in last 20 sec from ip [74.125.77.95], Sunday, Oct 09,2011 11:12:05

[DOS ataku: FIN Scan] pakiety atak w ciągu ostatnich 20 sekund z ip [74.125.77.95], niedziela, paź 09,2011 11:12:05

system · 9 Październik 2011 17:44

Nie zrozumiałeś mnie. Nie twierdze, że nie było połączenia, tylko opisuje w jaki sposób mogło do tego dojść, iż firewall mógł to uznać za tego typu anomalie. Dzięki za info mimo to nie było to potrzebne łączne z tłumaczeniem.

Pozdrawiam