Syn Flood to Host - czasami wolny internet


(Przemek89k) #1

Hej,

posiadam internet osiedlowy LAN, korzystam z routera Easybox 802 (port ethernet1 to port WAN). Wszystko działa bardzo dobrze, tylko czasami jest dziwna sytuacja (zdarza się one nawet kilka razy dziennie) tzn.

  • internet strasznie zwalnia, nie można przeglądać stron internetowych

Zauważyłem, że w logach routera pojawiły się bardzo dziwne wpisy:

[syntax=text]11/22/2012 15:21:06 **IP Spoofing** 192.168.2.122, 49444->> 255.255.255.255, 10001 (from ATM1 Inbound)

11/22/2012 15:20:07 **IP Spoofing** 192.168.2.122, 49444->> 255.255.255.255, 10001 (from ATM1 Inbound)

11/22/2012 15:19:37 **IP Spoofing** 0.0.0.0, 68->> 255.255.255.255, 67 (from ATM1 Inbound)

11/22/2012 15:19:20 **UDP Flood to Host** 89.25.130.178, 63630->> 85.14.109.216, 58843 (from ATM1 Inbound)

11/22/2012 15:19:20 **UDP Flood to Host** 89.25.130.59, 58559->> 85.14.109.216, 58843 (from ATM1 Inbound)

11/22/2012 15:19:20 **UDP Flood to Host** 89.25.130.25, 43505->> 85.14.109.216, 58843 (from ATM1 Inbound)

11/22/2012 15:19:07 **IP Spoofing** 192.168.2.122, 49444->> 255.255.255.255, 10001 (from ATM1 Inbound)

11/22/2012 15:18:07 **IP Spoofing** 192.168.2.122, 49444->> 255.255.255.255, 10001 (from ATM1 Inbound)

11/22/2012 15:17:07 **IP Spoofing** 192.168.2.122, 49444->> 255.255.255.255, 10001 (from ATM1 Inbound)

11/22/2012 15:16:53 **IP Spoofing** 0.0.0.0, 68->> 255.255.255.255, 67 (from ATM1 Inbound)

11/22/2012 15:16:31 **IP Spoofing** 0.0.0.0, 68->> 255.255.255.255, 67 (from ATM1 Inbound)

11/22/2012 15:16:08 **IP Spoofing** 192.168.2.122, 49444->> 255.255.255.255, 10001 (from ATM1 Inbound)

11/22/2012 15:15:09 **TCP FIN Scan** 192.168.2.100, 1297->> 91.206.7.226, 80 (from ATM1 Outbound)

11/22/2012 15:15:08 **TCP FIN Scan** 192.168.2.100, 1529->> 213.180.144.57, 80 (from ATM1 Outbound)

11/22/2012 15:15:08 **TCP FIN Scan** 192.168.2.100, 1381->> 89.161.184.235, 80 (from ATM1 Outbound)

11/22/2012 15:15:08 **TCP FIN Scan** 192.168.2.100, 1544->> 213.180.144.56, 80 (from ATM1 Outbound)

11/22/2012 15:15:08 **IP Spoofing** 192.168.2.122, 49444->> 255.255.255.255, 10001 (from ATM1 Inbound)

11/22/2012 15:15:07 **Vecna Scan** 192.168.2.100, 1292->> 74.125.136.139, 443 (from ATM1 Outbound)

11/22/2012 15:14:59 **SYN Flood to Host** 89.25.130.59, 42193->> 89.25.130.94, 1433 (from ATM1 Inbound)

11/22/2012 15:14:59 **SYN Flood to Host** 89.25.130.25, 47380->> 89.25.130.94, 1433 (from ATM1 Inbound)[/syntax]

Głównie chodzi mi tutaj o linijki:

To właśnie w tym czasie jakoś tracę dostęp do internetu - podejrzewam, że to może być jakiś atak w stylu DDoS. Z drugiej strony, gdybym podłączył kabel z internetu bezpośrednio do komputera (z pominięciem routera) to wszystko działa prawidłowo.

Czy ktoś może wyjaśnić o co chodzi i jak się przed tym zabezpieczyć ?

W razie czego wrzucam zakładkę Firewall -> Intrusion Detected z ustawień mojego routera, może tam coś trzeba zmienić:

1707479600_1353599924_thumb.jpg

A i jeszcze jedno, co może być przydatne do zdiagnozowania problemu - gdy wykonuję polecenie ping 192.168.2.1 (adres routera) to czas oczekiwania 1ms, natomiast gdy internet zwalnia to polecenie ping 192.168.2.1 daje strasznie złe wyniki np. 30ms i więcej ... a gdy chcę wejść wtedy do okna ustawień routera (wpisując IP w przeglądarce) to ciągle się wczytuje i nie chce wczytać - dopiero gdy odłączę kabel od internetu, to mogę bez przeszkód wejść do ustawień routera. Oczywiście takie problemy nie występują gdy internet działa poprawnie :slight_smile:

Dziękuję za rady i pozdrawiam,

-- Dodane 22.11.2012 (Cz) 17:18 --

A jeszcze dodam - do routera podłączony jest laptop poprzez WIFI, oraz komputer stacjonarny po kablu - problemy występują jednocześnie na obu urządzeniach.

-- Dodane 22.11.2012 (Cz) 18:40 --

Logi chyba jednak nie mają tutaj nic do rzeczy, bo czasami pomimo logów pokazanych u góry jest dostęp do internetu. Zauważyłem, że gdy nie ma dostępu do internetu i wykonam polecenie:

ping 89.25.XX.XXX (gateway - brama mojego dostawcy internetowego)

to wtedy pisze "upłynął limit czasu żądania"....

-- Dodane 23.11.2012 (Pt) 12:52 --

Jest ktoś w stanie pomóc ?


(roobal) #2

Możliwe, że to atak na sieć i wygląda to jakby ktoś próbował atakować z sieci. Router zalogował również zapytania do serwera DHCP, prawdopodobnie ktoś próbuje się podszyć pod dany adres IP. Trudno jednak powiedzieć kto kogo atakuje bez znajomości adresacji. Przede wszystkim problem powinieneś zgłosić swojemu dostawcy. Jeśli chcesz analizować dla własnej ciekawości problem, możesz użyć do tego programu Wireshark, on zaloguje o wiele więcej, niż router.