Nemtudtam értelmes topikcímet kitalálni, mert hülye vagyok az ilyenekhez. Az a lényeg, hogy a routerem a logja szerint a fent említett támadásokat érzékelte többször is a napokban. Az lenne a kérdésem, hogy ezek okozhatnak-e olyan hibát, hogy megszakadnak a letöltések, netes játékban jobban laggolok? És ha pl egy szervert pingelek van monnyuk 4db 15-20ms-es késés és utána egy 100 fölötti és ez ismétlődik.
Mennyire véd a router tűzfala ezek ellen? Mit lehet csinálni, hogy ez megszűnjön?
Azért is vagyok ennyire bizonytalan mert a routerem is csinál érdekes dolgokat és nem tudom mikor mi szarik be éppen. Előre is köszi.

"két lábon járó növényevő szarkészaurusz"

Nehogymár senki ne tudjon ilyesmiről. Legalább azt mondja meg nekem valaki, hogy ezek virustámadások is lehetnek, vagy valaki direkt szivat?

"két lábon járó növényevő szarkészaurusz"

Valaki szivat...

The ''ping'' command is built into both Windows and UNIX machines as a universal way of testing network response time and performance. The name is really based off the similarity to sonar pings, though many people have create a post hoc acronym ''Packet INternet Groper''.

Example: The ping-of-death attack used IP fragmentation to crash systems. It was so named because the ping program built-in to Windows could be easily told to fragment packets this way.


smurf [2]
An exploit that sends a ping to a broadcast address using a spoofed source address. Everyone on the target segment responds to the source address, thereby flooding it with traffic.

''Akár hiszed, hogy meg tudsz csinálni valamit, akár nem, mindenképpen igazad van.'' - Henry Ford

Ezt még fel is fogom!
A fő kérdésem az lenne, hogy, ha egyszer a logban kiirja, hogy ilyen támadást érzékelt és eldobta a csomagot úgy is okozhat gubancot? Valamint ilyenekt csak akkor kaphatok, ha direkt szivatnak, vagy ez mindennapos?

"két lábon járó növényevő szarkészaurusz"

Hát szerintem mindenképpen okoz gubancot, mert addig is foglalja a sávszélt, amíg ezzel foglalkozik a routered. Elvileg nem csak direkt kaphatsz ilyet, mert főleg a smurf támadásnál inkább ip-tartományt adnak meg, és minden ip-nél próbálkozik a progi. Az viszont gyanús, hogy folyamatosan jön a próbálkozás, mert ez vagy azt jelenti, hogy egy noob script kiddie kipróbálta a hacker progiját, és nem tudja kiértékelni az eredményt (esetedben azt, hogy a router visszaverte), vagy azt, hogy valaki direkt a te ip-det szivatja, hogy lassuljon a neted. Engem dc-n szivattak meg így, akkor épp nem volt routerem, és egy dos támadással szépen le is vágtak a netről.

''Akár hiszed, hogy meg tudsz csinálni valamit, akár nem, mindenképpen igazad van.'' - Henry Ford

Feb/28/2005 17:14:13 Smurf Attack Detect Packet Dropped
Feb/28/2005 17:14:13 Smurf Attack Detect Packet Dropped
Feb/28/2005 17:14:13 Smurf Attack Detect Packet Dropped
Feb/28/2005 17:14:13 Smurf Attack Detect Packet Dropped

Feb/28/2005 14:23:16 Ping of Death Detect 81.182.180.248:33647 81.182.126.148:411 Packet Dropped
Feb/28/2005 08:25:08 Ping of Death Detect 192.168.1.10:4508 81.182.126.148:445 Packet Dropped
Feb/28/2005 07:37:04 Ping of Death Detect 81.182.180.248:32871 81.182.126.148:411 Packet Dropped
Feb/27/2005 23:24:06 Ping of Death Detect 81.182.180.248:33244 81.182.126.148:411 Packet Dropped
Feb/27/2005 23:21:50 Ping of Death Detect 81.182.180.248:33009 81.182.126.148:411 Packet Dropped
Feb/27/2005 23:08:52 Ping of Death Detect 81.182.180.248:33707 81.182.126.148:411 Packet Dropped
Feb/27/2005 23:04:15 Ping of Death Detect 81.182.180.248:33178 81.182.126.148:411 Packet Dropped

Ebből kiderül valami? Ha láthatatlanok a portjaim a net felől akkor hogyan tudnak baszogatni?

"két lábon járó növényevő szarkészaurusz"

Na, a smurf attacknál általában nem te vagy a célpont, hanem téged használnak fel, hogy valami komolyabb szervert megfektessenek azáltal, hogy rengeteg gépről egyszerre pingelik. (Pl. a Microsoft közkedvelt célpont.) De nekem ebből úgy tűnik, hogy te voltál a célpont, mivel gondolom vírusod nincs, hogy tőled mennének kifele a pingek. A Ping of death megerősíti, hogy itt bizony te vagy a célpont, legalábbis szerintem. Mondjuk ilyeneket én soha nem csináltam, de olvastam róluk egy-két dolgot. Ilyenkor nem nagyon számít, hogy láthatatlanok a portjaid, mert az csak annyit segít, hogy a portscanner nem tud meg rólad semmit. (Mindazonáltal a 80-as portod szinte biztosan nyitva van. ) Csakhogy itt ip alapján kapod az áldást, az meg mindenkinek van, és pl. azzal, hogy ide írtál, máris látható a tied. (Illetve a routeré, feltéve, ha nem használsz proxy szervert. ) De ugyanígy elkaphatják az ip-det dc-n is, ráadásul ott jóval nehezebb elrejteni, elég, ha valaki elkezd mondjuk tölteni rólad, máris megvan neki az ip-d. Ha nem webes felületről küldtél e-mail, abban is megvan az ip. Óvatosnak kell lenni sajnos...

''Akár hiszed, hogy meg tudsz csinálni valamit, akár nem, mindenképpen igazad van.'' - Henry Ford

Aham nagyjából értem. Azt mond meg még nekem, hogy ez a dolog okozhatja-e ezt a hibát, ha ez egyáltalán hibának minősül: hirtelen ötlettöl vezérelve bekapcsoltam, hogy mutassa a router logja a csomageldobásokat és lám:

Mar/01/2005 01:09:31 Drop TCP packet from WAN 81.182.121.175:4140 81.182.127.146:135 Rule: Default deny
Mar/01/2005 01:09:28 Drop TCP packet from WAN 81.182.121.175:4140 81.182.127.146:135 Rule: Default deny
Mar/01/2005 01:08:44 Drop TCP packet from WAN 81.182.101.88:1246 81.182.127.146:135 Rule: Default deny
Mar/01/2005 01:08:40 Drop TCP packet from WAN 81.182.101.88:1246 81.182.127.146:135 Rule: Default deny
Mar/01/2005 01:08:01 Drop TCP packet from WAN 81.182.79.84:3236 81.182.127.146:135 Rule: Default deny
Mar/01/2005 01:07:59 Drop TCP packet from WAN 81.182.106.111:4859 81.182.127.146:135 Rule: Default deny
Mar/01/2005 01:07:58 Drop TCP packet from WAN 81.182.79.84:3236 81.182.127.146:135 Rule: Default deny

ez csak egy kis részlet, pár másodpercenként ismétlődik folyamatosan, de nemtudom, hogy ez jelent-e valami szokatlant.
És mostmár megyek feküdni, de ha megtennéd még, hogy adsz valami tippet, hogy mit tehetnék akkor hálás lennék.
Köszönöm a segítséget!

"két lábon járó növényevő szarkészaurusz"

Hát, csak ugyanazt tudom mondani mint eddig, valaki próbálkozik. A TCP próbálkozásokról itt egy kis infó:

TCP sequence number prediction [4]
When trying to spoof a TCP connection, the intruder is faced with the difficulty that he will never see the response to a SYN packet.. This is a problem because the victim sends back information to the spoofed address that is needed to carry on the conversation, namely the sequence number being used by the victim. Luckily (for hackers), most systems choose sequence numbers in a predictable way.
History: Kevin Mitnick was caught doing TCP sequence number prediction against Tsutmu Shimomura. The reason Shimomura was able to catch Mitnick is because in order to predict the next sequence number, you must first grab the previous number using a non-spoofed connection.

History: One of the first to point out this security problem was Robert T. Morris in a 1985 paper entitled A Weakness in the 4.2BSD Unix TCP/IP Software.


Igazából csak annyit látni a logból, hogy valaki próbálkozik. Ha tudsz, változtass ip-t, akkor elvileg szem elöl téveszt. Esetleg megpróbálhatsz visszavágni, de nem ajánlatos ilyesmibe belemenni, mert nem biztos, hogy a saját gépét használja a támadásra, lehet, hogy egy másik gépet tört fel, és onnan támad. Szóval legjobb az ip váltás.

''Akár hiszed, hogy meg tudsz csinálni valamit, akár nem, mindenképpen igazad van.'' - Henry Ford

Ennyire azért ne paráztasd a srácot
135-ös porton elég sok vírus is terjed, ez a jól ismert Remote Procedure Call listen portja ha jól emléxem. És onnan ismerjük, hogy még most is előfordul olyan topic, hogy ''segítsetek, azt írja ki a gépem, hogy 60 másodperc múlva leáll...''

Nem paráztattam, természetesen lehet, hogy vírus műveli az egészet, írtam is, hogy általában az szokta (pl. a Microsoft támadásai), de az eredmény szempontjából tök mindegy, hogy vírus csinálja, vagy valaki szándékosan. Egyébként a 135-ös port tudtommal a Location Service.

''Akár hiszed, hogy meg tudsz csinálni valamit, akár nem, mindenképpen igazad van.'' - Henry Ford

Ebből nem túl sokat értek. Tehát ez azt jelenti, hogy valamelyik gépem vírusos és az szopat? Kaspersky barátom szerint tiszta mindkét gép. Ezeket a pocketdroppokat is ez a vírus vagymi csinálhatja? Egyébként normális az, hogy másodpercenként dobálja el?

[Szerkesztve]

"két lábon járó növényevő szarkészaurusz"

Naa még mindíg azt mondjátok meg, hogy attól lehet-e baja a gépnek (vagy netnek), hogy másodpercenként szórja el a csomagokat ha fennvagyok.

Mar/06/2005 16:54:51 Drop TCP packet from WAN 81.182.1.241:1378 81.182.126.240:135 Rule: Default deny
Mar/06/2005 16:54:51 Drop TCP packet from WAN 217.236.41.89:2167 81.182.126.240:25263 Rule: Default deny

Tehát 135-ös meg 25263-as portokon nem enged valamit ami folyamatosan menni akar? Mi csináljak vele? Fingom sincs ilyenekről valaki segítccsen már!

Ja és ilyen attakkokat már nem jelez mióta formáztam.

[Szerkesztve]

"két lábon járó növényevő szarkészaurusz"

Nem lehet baja.

For every complex problem, there is a solution that is simple, neat and wrong.'' H.L. Mencken

Oké de ezt úgy értettem, hogy okozhatja-e azt, hogy netes játékban laggolok, és ha pingelek akkor pár jó (10-20ms) bedob ilyen 100asokat. Szóval ilyesmit okozhat?

"két lábon járó növényevő szarkészaurusz"

Ha már van ilyen téma akkor legyen egy kicsit foglalkozva vele, úgyis egyre szaporodnak az ilyen támadások.

Erről ki mit gondol?
Smurf után rögtön egy TCP FIN scan: