Registreer FAQ Ledenlijst Berichten van vandaag


Ga terug   Scholieren.com forum / Technologie / Software & Hardware
Deze pagina opnieuw laden DoS "Smurf" en "Ping of Death" meldingen firewall
Reageren
 
Topictools Zoek in deze topic
Oud 27-02-2010, 01:17
Verwijderd
Ik krijg sinds een dag of twee (ipv vlinders in mijn buik) een hoop security log-meldingen van mijn Sygate Personal Firewall:

Denial of Service, Severity: Major, Incoming, ICMP, van het type "Smurf" en "Ping of Death".

Ik merk er vrijwel niets van qua performance en er lijkt ook niks aan de hand te zijn met mijn systeem. Toch vertrouw ik het niet. Is mijn firewall ze nou aan het blocken of ben ik in gevaar? Ik deed een online Symantec Security Scan en die gaf aan dat alles stealth is.

Ik zit hier in een netwerk van een studentencomplex dus kan het zijn dat het probleem zich voordoet bij de centrale router (of weet ik het, heb er weinig verstand van) of is het enkel mijn computer dat slachtoffer is?
Met citaat reageren
Advertentie
Oud 27-02-2010, 01:52
Verwijderd
Er zitten hier ongetwijfeld mensen die je beter kunnen helpen, maar ik kan je wel alvast vertellen dat je niet het slachtoffer van die aanval bent maar een medewerker. (Waarschijnlijk dan, want dat 'incoming' verwart me wel.) Bij een DoS-attack worden zeg maar heel veel computers aan 't werk gezet om allemaal één adres op te vragen. Die kan al dat verkeer niet aan en gaat uit de lucht. Jouw systeem is dus niet in gevaar maar je werkt ongewild en onbewust wel mee aan de aanval op iets/iemand anders.

Het probleem zal zich wel niet voordoen in de router, want volgens mij kan dit alleen via een uniek IP-adres dat gekoppeld is aan een computer. Maar het kan op zich wel dat het hele complex besmet is, en dat dat gebeurd is via het centrale punt. Denk ik.

Ik weet niet hoe je eraf kunt komen, maar er is vast één of ander handig scantooltje voor. Ik zou sowieso ook je netwerkbeheerder (als die er is in jouw complex) op de hoogte stellen van het probleem, die zal er wel meer van weten en bovendien kan hij misschien wat nuttigs veranderen in de interne instellingen van de router. Hier een Hijackthis-logje neerplempen kan ook nooit kwaad, net als een flinke virusscanner over je systeem laten gaan.

En verder is het afwachten tot hier mensen komen die er meer van weten dan ik.
Met citaat reageren
Oud 27-02-2010, 07:51
freyk
Avatar van freyk
freyk is offline
Citaat:
Denial of Service, Severity: Major, Incoming, ICMP, van het type "Smurf" en "Ping of Death".
Is mijn firewall ze nou aan het blocken of ben ik in gevaar?
Ik ben benieuwd hoe het logje eruit ziet.
Het mooie van een logje is, is dat hij laat zien wat de firewall blokkeerd (als je je firewall zo ingesteld hebt). Je moet juist bang zijn voor de hoeveelheid aanvallen van een ipadres (of meerdere uit die omgeving), de richting en dingen die hij juist niet registreerd.
Bijvoorbeeld toeganglogjes vangen deze dan weer op.

Citaat:
Ik zit hier in een netwerk van een studentencomplex dus kan het zijn dat het probleem zich voordoet bij de centrale router (of weet ik het, heb er weinig verstand van) of is het enkel mijn computer dat slachtoffer is?
Een goed ingestelde router zou een groot gedeelte tegen moeten houden.

Citaat:
Ik deed een online Symantec Security Scan en die gaf aan dat alles stealth is.
Je controleert hiermee dan de beveiligingmechanisme van de router. Ik raad je aan om dit te doen bij meerdere online checkers, bijvoorbeeld met shields up.
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
Laatst gewijzigd op 27-02-2010 om 08:30.
Met citaat reageren
Oud 27-02-2010, 10:22
Verwijderd
Citaat:
Er zitten hier ongetwijfeld mensen die je beter kunnen helpen, maar ik kan je wel alvast vertellen dat je niet het slachtoffer van die aanval bent maar een medewerker. (Waarschijnlijk dan, want dat 'incoming' verwart me wel.) Bij een DoS-attack worden zeg maar heel veel computers aan 't werk gezet om allemaal één adres op te vragen. Die kan al dat verkeer niet aan en gaat uit de lucht. Jouw systeem is dus niet in gevaar maar je werkt ongewild en onbewust wel mee aan de aanval op iets/iemand anders.
Ja, ik zat ook al te denken dat ik werd misbruikt voor een attack op een ander doel. Had ik er misschien even bij moeten zetten. Dat lijkt me het meest logische idd.

Citaat:
Het probleem zal zich wel niet voordoen in de router, want volgens mij kan dit alleen via een uniek IP-adres dat gekoppeld is aan een computer. Maar het kan op zich wel dat het hele complex besmet is, en dat dat gebeurd is via het centrale punt. Denk ik.
Hm, ok.

Citaat:
Ik weet niet hoe je eraf kunt komen, maar er is vast één of ander handig scantooltje voor. Ik zou sowieso ook je netwerkbeheerder (als die er is in jouw complex) op de hoogte stellen van het probleem, die zal er wel meer van weten en bovendien kan hij misschien wat nuttigs veranderen in de interne instellingen van de router. Hier een Hijackthis-logje neerplempen kan ook nooit kwaad, net als een flinke virusscanner over je systeem laten gaan.

En verder is het afwachten tot hier mensen komen die er meer van weten dan ik.
Ok, thanks. Ik heb die hijacklogjes wel eens vaker gezien, nooit de moeite genomen om dat zelf eens te gebruiken. Zal ik nu eens doen
Met citaat reageren
Oud 27-02-2010, 10:38
Verwijderd
Citaat:
Ik ben benieuwd hoe het logje eruit ziet.
Het mooie van een logje is, is dat hij laat zien wat de firewall blokkeerd (als je je firewall zo ingesteld hebt). Je moet juist bang zijn voor de hoeveelheid aanvallen van een ipadres (of meerdere uit die omgeving), de richting en dingen die hij juist niet registreerd.
Bijvoorbeeld toeganglogjes vangen deze dan weer op.
Hmm, de traffic log van mijn firewall geeft aan dat alle incomings van het type ICMP 'blocked' zijn. Dus ik heb volgens mij niets te vrezen. Had ook ingesteld dat ik alles expliciet moet toestaan wat wel en geen toegang krijgt tot mijn computer (+ wat outgoing is).

Ik ga toch nog even Hijackthis en die shields up scan doen.
Met citaat reageren
Oud 27-02-2010, 10:54
Verwijderd
GRC Port Authority Report created on UTC: 2010-02-27 at 10:53:33

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
119, 135, 139, 143, 389, 443, 445,
1002, 1024-1030, 1720, 5000

0 Ports Open
0 Ports Closed
26 Ports Stealth
---------------------
26 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

----------------------------------------------------------------------

So far, so good.
Met citaat reageren
Oud 27-02-2010, 10:56
Verwijderd
Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.
Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.

Nou eh, ok.
Met citaat reageren
Oud 27-02-2010, 11:07
Verwijderd
Hijackthis logje:

Spoiler
Met citaat reageren
Oud 27-02-2010, 11:58
M@rco
Avatar van M@rco
M@rco is offline
Niets vreemds te zien in je logje. Ik zou me er niet te druk om maken, smurf attacks en ping-of-death zijn dingen waar moderne computers en netwerken allang niet meer gevoelig voor zijn. Als je kunt zien waar dit vandaan komt kun je er melding van maken, misschien dat diegene dan een schop onder z'n kont krijgt.
Met citaat reageren
Oud 27-02-2010, 21:46
freyk
Avatar van freyk
freyk is offline
Jouw shieldsup logje zegt dat je router een poorten voor buiten openhoud, dus richt ik mij op de binnen kant.
Als ik jouw logje en je posts lees, zouden de volgende regels iets met die ICMP-meldingen te maken hebben:

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

Snelle omschrijving: xpnetdiag, een defecte bonjour en licentieserver checkers kunnen wel iets met die icmp meldingen te maken hebben.

Maar wij kunnen pas echt dingen gaan concluderen, wanneer wij een stukje inhoud van je logje hebben bekeken. (maak desnoods een screenshot van je log en verberg je eigen externe ip).
__________________
"Typefouten zijn gratis" | "Daar is vast wel een knopje voor" | "Ik weet, want ik zoek" | Powered by Firefox, Chromium, Mac OS X, OpenSuse, and Google.
Met citaat reageren
Advertentie
Reageren

« Vorige topic | Volgende topic »

Regels voor berichten
Je mag geen nieuwe topics starten
Je mag niet reageren op berichten
Je mag geen bijlagen versturen
Je mag niet je berichten bewerken
BB code is Aan
Smileys zijn Aan
[IMG]-code is Aan
HTML-code is Uit
Spring naar


Alle tijden zijn GMT +1. Het is nu 03:28.

E-mail ons - Scholieren.com - Naar boven