Syn Flood, smurf und Konsorten... DOS Angriffe

thedot

Lieutenant
Dabei seit
März 2005
Beiträge
770
Hallo Leute,

mich würde mal interessieren wie ihr die ganzen Angriffe bekämpft? Gibt es da womöglich Router die solche Angriffe automatisch abwehren können oder wie geht ihr vor? Meistens bleibt man ja davon verschont, aber wenn ich z. B. mein Torrent-Programm starte, dann ist es vorbei, ein Angriff nach dem anderen, da ist man (ich) einfach machtlos. Klar, kann ich Torrent schließen, neue IP holen und ist erstmal Ruhe, aber wenn ich das Programm wieder starte, fängts wieder an.

PS: Hoffe, dass ich hier im richtigen Forum bin.

LG und danke für die Anregungen.
 
T

Tankred

Gast
"Angriffe bekämpfen" hört sich lustig an. Wer sagt Dir denn, dass Angriffe stattfinden, Deine Software Firewall? Wenn ja, dann gehe ich von "Fehlinterpretationen" der Firewall aus. Wenn man beim Connecten auf ein P2P-Netzwerk inklusive User-Connects plötzlich haufenweise Angriffsmeldungen bekommt, so interpretiert die Firewall mit hoher Wahrscheinlichkeit völlig normalen Netzwerkverkehr als "Angriffe". Prinzipiell weiß so eine Firewall ja nix, von Haus aus kommen unseriöse Produkte aber gerne mit einer ganzen Latte an Regeln, die eine bestimmte Meldung bei Netzwerkverkehr XY auswerfen. So interpretierte die Symantec-Firewall einst bei Verbindungen mit FTP-Servern die Anfrage des Servers "bist Du noch da, sonst beende ich die Verbindung!?" als bösen, bösen Hackerangriff. Völliger Blödsinn, aber die Firewall meldete dem User Erfolg beim bekämpfen der Bedrohung aus dem All... äh Internet und der Benutzer war froh, das Produkt gekauft zu haben.

Lange Rede, kurzer Sinn: Angriffe aus dem Internet bekämpfe ich mit einem Virenscanner, einem aktuellen Betriebssystem, einer sorgfältigen Konfiguration des gesamten Systems und ein wenig Vorsicht beim durch das Netz wandeln. Ist ja nicht so, dass Millionen Hacker sich auf Dich stürzen, sobald Du ins Netz gehst und wenn doch, wie sollten sie in ein vernünftig gewartetes System denn eindringen?
 

thedot

Lieutenant
Ersteller dieses Themas
Dabei seit
März 2005
Beiträge
770
Ähm nicht das was ich erhofft habe, aber immerhin hast Du Dich zum Beitrag gemeldet. Nimm Dir ein Keks und geselle Dich einfach zu den anderen Unwissenden. Du scheinst mein Problem gar nicht verstanden haben. Aber ist ja nicht schlimm, ich warte einfach auf paar kompetente Antworten.
 

kuvaton

Lt. Junior Grade
Dabei seit
Okt. 2006
Beiträge
382
Hm eigentlich hat mein Router ne integrierte Firewall die auch die DOS Angriffe abwehrt. Bei mir läuft Tag und nacht Emule aber von solchen Angriffen ist eigentlich nix durchgekommen. Normalerweise erkennt doch en gescheite Firewall DOS angriffe oder eben die iM Router.
 

Jacek_K

Lieutenant
Dabei seit
Mai 2001
Beiträge
564
was tankred sagt ist komplett richtig..junge du hast keine angriffe per torrent und nu nimm du nen keks wenn du anderen dumm kommst die mehr wissen als du..ansonsten frag erst gar nicht und halt dich fern von foren. mit deiner unwissendheit solltest du dich auch vom pc fernhalten statt leuten dumm zu kommen die ne kompotente antwort geben.
 

thedot

Lieutenant
Ersteller dieses Themas
Dabei seit
März 2005
Beiträge
770
Darf ich fragen was Du fürn Modem hast oder Router? Ich hab n älteres Model von SMC - Barricade (Modem und Router inkl.). Nun mein guter Kumpel hat seit paar Monaten 16MBit Telekom Standard Modem plus Lynksys Router, er hat auch ähnliche Probleme wie ich, kann ja sein daß er die FW falsch konfiguriert hat. Bei meiner FW kann ich ja nix einstellen, außer unbekannte Ports blocken (ich weiß, ganz toll). Hab auch glaub bei wiki gelesen, daß neuere Geräte solche sog. Angriffe abwehren sollen. Weiß nur nicht um welche Preisklasse es sich hierbei handelt.
Jedenfalls wenn ich paar Min Torrents laufen ließ, geht bei mir kaum noch was raus und kaum noch was rein. D. h. Ich hab vorhin Aquamark gezogen und da Torrent lief (mit max 10KB DL und 5KB UL [hab nur 1MBit]) und im LOG haufen solche "attacken" zu verzeichnen waren, konnt ich von Computerbase Aquamark gerade mal mit 10KB ziehen. Nachdem ich jedoch Torrent zu machte und mir neue IP nahm (gab auch keine "Angriffe" mehr im Log), ging der Download wieder voll auf 120KB.

was tankred sagt ist komplett richtig..junge du hast keine angriffe per torrent und nu nimm du nen keks wenn du anderen dumm kommst die mehr wissen als du..ansonsten frag erst gar nicht und halt dich fern von foren. mit deiner unwissendheit solltest du dich auch vom pc fernhalten statt leuten dumm zu kommen die ne kompotente antwort geben.
Was Jacek schrieb war mehr die Antwort die ich erwartet habe und Du bist nicht befugt hier um mir zu sagen was und wo ich schreiben kann/darf. Außerdem waren diese "Angriffe" die ich auch in meinem letzten Posting beschrieb mehr als Oberbegriff gemeint oder gar als Metapher. Nicht ich sondern solche wie Du und er sind unwissend, denn was bringt mir beispielsweise eine AV in diesem Fall, wenn es um die Ports und das Modem bzw Router geht? Informier Dich/euch lieber worum es bei den Smurf oder Flood "Angriffen" (extra für euch nochmal in Klammern) geht, dann reden wir weiter.
 
Zuletzt von einem Moderator bearbeitet: (Doppelpost)

kuvaton

Lt. Junior Grade
Dabei seit
Okt. 2006
Beiträge
382
Hm mein Router: D-Link DSl584T
Naja aktuellstes Windows Xp SP2
und alle unnötigen Dienste aus und eben alle unbenutze Ports zu. Solche Probleme wie du ahst hatte ich noch nie nund auch nie sowas gelesen. Ich würde eher vermuten du hast zeug aufm PC was Tor und Tür für diese Angriffe öffnet.
 

thedot

Lieutenant
Ersteller dieses Themas
Dabei seit
März 2005
Beiträge
770
Hm mein Router: D-Link DSl584T
Naja aktuellstes Windows Xp SP2
und alle unnötigen Dienste aus und eben alle unbenutze Ports zu. Solche Probleme wie du ahst hatte ich noch nie nund auch nie sowas gelesen. Ich würde eher vermuten du hast zeug aufm PC was Tor und Tür für diese Angriffe öffnet.
Nee das bezweifele ich, habe alle Win Updates, AV und Software FW auf jedem Arbeitsplatz. Wüßte jetzt nicht wo was durchsickern kann.

Hier was zu Smurf:
http://en.wikipedia.org/wiki/Smurf_attack

edit: Vielleicht hat ja uTorrent Programm irgendwelche Lücken... Ich probiere mal ein anders torrent Programm zu installieren. Du schreibst dass Du so etwas nicht kennst, hast es womöglich nur noch nicht in der Log gesehen. Hab ja beschrieben wie sich das äußert mit schlechter oder gar keiner Internetverbindung, wenn man bestimme Seiten nicht mehr erreichen kann obwohl Internetverbindung da ist, wenn es in den Spielen laggt oder die DL oder auch UL Geschwindigkeit down geht.
 
Zuletzt bearbeitet:

kuvaton

Lt. Junior Grade
Dabei seit
Okt. 2006
Beiträge
382
Hm wenn ich diesen Exploit Test mache, habe ich keine Lücken. Auf jedenfall wird mir gesagt das alles in ordnung ist. Hm aber naja DOS wird damit jetzt nicht getestet.
http://www.pcflank.com/exploits.htm
Edit: Hm diese Smurf attacke kann man doch ang leicht "ausschalten". Du gibts einfach keine Pingantwort mehr. Wie ich den Wiki Artikel verstanden habe wird gerade das Ping Signal ausgenutzt damit der Angriffe erst möglich wird.
 
Zuletzt bearbeitet:

thedot

Lieutenant
Ersteller dieses Themas
Dabei seit
März 2005
Beiträge
770
Ja und wie bring ich das meinem Router bei? Oder gibt es unter Win ein Dienst dafür? Womöglich wird dieser Dienst auch als solcher für Filesharing genutzt :freak:

edit: Danke für den Link, mein System scheint gegen exploits ebenfalls sicher zu sein, aber wie Du schon sagst, wären DOS Attacken in diesem Fall interessanter.
 

kuvaton

Lt. Junior Grade
Dabei seit
Okt. 2006
Beiträge
382
Hm normalerweise blocken Router die Pinganfragen von außen, sodass diese Angriffe erst garnicht entstehen können, oder du machst ne Softwarefirewall drauf die solche Anfragen persönlich blockt. Hm wenn es nix besonderes sein soll Zonealarm, willst du aber was gescheites nimm die Agnitum Outpost Pro.
Hm aber ich habe nochmal nachgeschaut, genau diese Angriffsart kann ich im Bereich Firewall beim Router an oder ausstellen. Aber ich lasse sowieso keine Pingsignale von außen zu, ausser ich will irgendetwas testen oder so.
Edit: Mach mal nen portscan, und schau ob port 135,136,137,139 offen sind. Über diese Ports soll man ein System recht leicht "hacken" können. Auf der Seite mit den Exploits kannst du nen Portscan machen


Edit: Naja gehe jetzt pennen, schreibe morgen weiter falls es noch fragen gibt oder so, oder jemand kennt sich mit dem zeug aus
 
Zuletzt bearbeitet:

thedot

Lieutenant
Ersteller dieses Themas
Dabei seit
März 2005
Beiträge
770
Meinst Du diesen Quicktest, da war bei mir alles safe. Die Funktion von Deiner HW Firewall verfügt mein Gerät nicht, leider... Hab auf meinem Notebook und Desktop jeweils ZA laufen. Aber ne gescheite Hardware Firewall wäre mir tatsächlich wesentlich lieber.

Edit: Jedenfalls hab ich eben noch Spybot search n destroy gezogen und die Tests von der Seite durchgeführt, danach hatt ich grad mal 5K DL oder es ging gar nicht voran ("Syn Flood" im Log). Hab reconnectet und der DL stieg wieder auf 120KB - obwohl es nach den Tests hieß, dass mein Rechner gegen solche Angriffe sicher ist.
 
Zuletzt bearbeitet:

/home/tool

Lt. Commander
Dabei seit
Feb. 2006
Beiträge
1.770
Poste mal Deine uTorrent Konfiguration. Ich denke, Dein Router wird mit der Anzahl der Verbindungen nicht klarkommen.
Und das Du haufenweise Syn/Ack Traffic hast, ist wohl klar: Du und die verbundenen Peers handeln die Verbindung aus. Das das weitergeht, selbst nachdem Du uTorrent beendet hast, liegt daran, dass die Peers Dich nach wie vor unter Deiner IP zu erreichen versuchen.
Ohne Deine Config zu kennen: Dein Syn Flooding Kann entstehen, wenn Du eine Diskrepanz zwischen global maximum connections und max connections per torrent hast. Bsp.: 300 global max, 100 max per torrent und alle ausgenutzt aber 4-5 torrents gleichzeitig. Macht 200 "überschüssige" Verbindungen, Syn ohne Ack also, da Du den Überschuss nicht zulässt (beschränkt durch die max global connections).
Desweiteren: hast Du die max. Halboffenen Verbindungen im Windows gepatcht? Wenn ja, wie hoch? Und wieviele halboffene Verbindungen lässt Du im uTorrent zu? Das und die maximale Upload Übertragungsrate haben Einfluss auf die Geschwindigkeit Deiner Verbindung, während der torrent läuft.

Zitat von thedot:
Ich hab n älteres Model von SMC - Barricade (Modem und Router inkl.)
BTW: sehr aussagekräftig. Welches Modell genau? Mal ein Firmwareupdate gemacht?
 
Zuletzt bearbeitet:

serra.avatar

Banned
Dabei seit
Aug. 2004
Beiträge
4.448
Sich Sorgen machen um seine PC Sicherheit und dann Filesharingprogramme benutzen ?!? ansich schon ziemlich Paranoid ...
... ich gehe aber mal eher davon aus das dein Torrent Programm falsch konfiguriert ist und dein FW das nur falsch interpretiert ... solltest als erstens mal checken ...

und ne Softwarefirewall ist recht nützlich um etwas die Kontrolle zu behalten was nach Hause telefoniert und was nicht, aber gegen ne richtige Infection duch Malware ist sie absolut nutzlos (gibt es genug infos im World Wide Web zu )
ansonsten gilt nen guten Virenscanner, evtl. noch nen Adware Scanner ... und vorallem Brain2.0 benutzen ... dann klappts auch mit dem Rechner ...
 
Zuletzt bearbeitet:

RAMMSTEiN0815

Banned
Dabei seit
Apr. 2006
Beiträge
2.207
immer peerguardian 2 laufen lassen, wenn man files shared
 
T

Tankred

Gast
Was Jacek schrieb war mehr die Antwort die ich erwartet habe...
Wenn Du die Wahrheit nicht hören willst, solltest Du das in Deinem Ausgangsposting erwähnen. ;)

Ich habe versucht, Dir die Eigenheiten von Netzwerkkommunikation möglichst verständlich darzulegen. Wenn Dich das nicht interessiert, dann kann ich auch nichts machen. Ich habe es versucht, Du kapierst es nicht oder willst es nicht kapieren, auch gut.

@Jacek_K: vielen Dank für die Schützenhilfe, ich beschäftige mich seit weit über einem Jahrzehnt mit Netzwerksicherheit und treffe immer wieder auf Leute, die sich vor Paranoia mit Sicherheitssoftware zupflastern. Oft trifft man da auf taube Ohren, wenn man zu erklären versucht, was sinnvoll und was nutzlos ist.
 

thedot

Lieutenant
Ersteller dieses Themas
Dabei seit
März 2005
Beiträge
770
Wenn Du die Wahrheit nicht hören willst, solltest Du das in Deinem Ausgangsposting erwähnen. ;)

Ich habe versucht, Dir die Eigenheiten von Netzwerkkommunikation möglichst verständlich darzulegen. Wenn Dich das nicht interessiert, dann kann ich auch nichts machen. Ich habe es versucht, Du kapierst es nicht oder willst es nicht kapieren, auch gut.

@Jacek_K: vielen Dank für die Schützenhilfe, ich beschäftige mich seit weit über einem Jahrzehnt mit Netzwerksicherheit und treffe immer wieder auf Leute, die sich vor Paranoia mit Sicherheitssoftware zupflastern. Oft trifft man da auf taube Ohren, wenn man zu erklären versucht, was sinnvoll und was nutzlos ist.
Hierbei muß ich mich korrigieren, ich meinte Antwort von snaf und nicht jacek. Denn Jacek ist ja bestimmt son Vollprofi wie Du. Ich kapiere genug, nur solche Beiträge wie von Dir sind alles andere als erwünscht.

@serra
Danke für den Tipp. Ich mache mir in dem Sinne keine große Sorge, sondern mich stören eher diese Syn Gesch., da dadurch meine Leitung zufährt und ich keine Verb zum Internet hab oder zumindest ne ganz schwache.
Ich habe auf dem Rechner immer standardweise 4 Programme laufen: AV, FW, AdWare und Spysearch n Destroy, bis jetzt hats immer ausgereicht und son Sicherheitsfreak bin ich auch nicht. Ich such mal gleich nach brain2.

@rammstein
Danke auch Dir für den Tipp, werd mir das Programm mal anschauen.

@/home/tool
Ähm das ist mir wieder n wenig zu komplex, komme mehr von der kaufmännischen Seite :p Was möchtest Du denn wissen? Max Verb 200, Max Anzahl von verbunden Peers pro Torrent 50, Anzahl der Uploadslots pro Torrent 4. Das mit den halboffenen Verbindungen, das ist mir n wenig unklar, wo stell ich das ein oder wo sehe ich das? Danke jedenfalls für Deine ausführliche Beschreibung.

Das Gerät ist SMC7404BRB (sorry wußte nicht, daß es für jemand interessant wäre, dachte dass das Wort "alt" völlig ausreichend wäre :lol:)
 

/home/tool

Lt. Commander
Dabei seit
Feb. 2006
Beiträge
1.770
OK, halboffene Verbindungen werden OK sein, wenn Du nix verstellt hast. Standard bei uTorrent ist 8, Windows XP SP2 erlaubt ungepatcht 10.
Wieviele Torrents lädst Du gleichzeitig? Was hast Du für eine Leitung?
Zu Deinem Router: laut diverser Internetforen schneidet der nicht besonders gut ab, insbesondere bei Filesharing und dicken (ab DSL 3000) Leitungen. Manche hatten Erfolg mit 'nem Firmwareupdate, manche nicht...
 

thedot

Lieutenant
Ersteller dieses Themas
Dabei seit
März 2005
Beiträge
770
OK, halboffene Verbindungen werden OK sein, wenn Du nix verstellt hast. Standard bei uTorrent ist 8, Windows XP SP2 erlaubt ungepatcht 10.
Wieviele Torrents lädst Du gleichzeitig? Was hast Du für eine Leitung?
Zu Deinem Router: laut diverser Internetforen schneidet der nicht besonders gut ab, insbesondere bei Filesharing und dicken (ab DSL 3000) Leitungen. Manche hatten Erfolg mit 'nem Firmwareupdate, manche nicht...
Nee ich habe nichts verstellt. Ja das mit den 10 Verb von XP, das ist mir auch bekannt, dachte Du meinst was anderes. Wieviele ich lade, mal mehr mal weniger. Naja derzeit z. B. 5 Stk, ein Film und paar Ebooks von Menshealth :cool_alt: Hab ne 1MBit Leitung. Früher war das nicht so extrem, aber letzte Zeit nur wenn ich uTorrent starte, dann ist es echt vorbei :(
 
Top