Seltsame Meldung vom ROUTER

[MarkOsten]

Hi Leute,
ich bekomme von meinem ROUTER eine sehr eigenartige Meldung.

12:17:27 **SYN Flood to Host** 192.168.2.100, 3069->> 212.227.119.74, 80 (from PPPoE Outbound)


Die Meldung sagt mir leider nichts, aber nach dieser Meldung wird die Internet- Verbindung extrem langsam.
Im Handbuch des ROUTERS (SMC) steht leider auch nichts.

Hat jemand eine Idee??



Gruß
Michael

[Helikiller]

Hi MarkOsten!

Bei mir war auch mal die Internetverbindung sehr langsam.
Dann habe ic folgendes gemacht:

Den Splitter stromlos, d.h. beide Kabel herraus!
Zähle bis Zehn
Die Kabel wieder rein.
Den Router würde ich auch mal ausschalten

Danach sollte es wieder besser laufen!


Oder Du schaust mal hier: Internet-Störungen auf der Spur!

[MarkOsten]

Hi Wolle,
wenn ich den Router zurücksetze( Stecker raus, Stecker rein) klappt die Inet- verbindung wieder.
Jedoch taucht der Fehler bis zu 200 mal pro Tag auf
Ich habe keine Ahnung was das ist.
Manchmal normalisiert sich das ganze auch "wie von selbst" wieder.

Gruß
Michael

P.S. deinen Link werde ich mal probieren

[buchi]

hallo markosten,

wenn du mal nach 'syn flood' googelst... syn flood ist eine moeglichkeit um dos-attacken gegen einen server zu starten.
sprich, deine maschine (192.168.2.100) ueber den port 3069 preparierte sync pakete an den server (212.227.119.74) auf dem web port.

anbei noch ein artikel, welcher tcp syn flooding etwas genauer beschreibt.
TCP SYN Flooding

ich wuerde mal deine maschine genauer untersuchen... koennte sein, dass du was drauf hast, was sind drauf gehoert.

gruss gab

[deft]

Hi!

Ich hatte Hier: http://www.rchelifan.org/viewtopic.php? ... highlight= in dem Thread ein paar Tools gepostet, mit denen kannst Du recht leicht herausfinden, welche Ports von welcher Software genutzt werden und ob da was werkelt, was es nicht soll...

[MarkOsten]

Hi Jens,
erst mal DANKE für den Link.
Ich habe die TOOLS durchlaufen lassen, aber die Ergebnisse sagen mir recht wenig .
Woran erkenne ich was da von wem gestartet wurde?
Sorry aber meine Netzwerkkenntnisse sind eher als BESCHEIDEN zu bezeichnen.
Gruß
Michael

[willie]

Hi Leute,
ich bekomme von meinem ROUTER eine sehr eigenartige Meldung.

12:17:27 **SYN Flood to Host** 192.168.2.100, 3069->> 212.227.119.74, 80 (from PPPoE Outbound)


Die Meldung sagt mir leider nichts, aber nach dieser Meldung wird die Internet- Verbindung extrem langsam.
Im Handbuch des ROUTERS (SMC) steht leider auch nichts.

Hat jemand eine Idee??



Gruß
Michael

Mach einen Virenscann und aktualisiere die Virenupdates davor.

Dann brauchst du noch eine Personal Firewall z.B. Zonealarm. Die fragt Dich bei Standardkonfiguration nach outbound Verbindungen die Du nicht willst. Zusaetzlich kannst du am "Router" outbound fuer den Port 3069 sperren.

Oder Deny any any kundenserver.de 80

netstat -a zeigt Dir auch alle Listener auf deinem rechner an.

Sieht aus als jemand sauer auf Schlund ist und Du einen Zombie auf deinem Rechner hast der als DDOS SYN Floods gegen Schlunds Kundenserver.de auf Port 80 ballert. Schlund wird das nicht viel machen aber deine Verbindung wird Arsch langsam.

Gruss Bernd

[deft]

Schau doch mal bei aports, welcher dienst auf deinem Rechner den port 3069 auf dem router anspricht. in prc-view kannst du dann unter "startup-info" ggf. sehen, wann dieser dienst gestartet wurde. ich tippe ja mal auf die svchost.exe...

Vielleicht ziehst Du ja einfacher das Pferd von hinten auf: Lad Dir das runter: http://www.safer-networking.org/de/index.html, las mal durchlaufen, ggf. im abgesicherten modus nochmal - alles weitere dann...

VIEL ERFOLG!

[deft]

Übrigens: Wenn Dein Rechner nur am Router und nicht im Windows-Netz hängt, sollten die Dienste an den Ports 135,136,137, 445 und 1025 abgeschaltet sein - auch dazu hatte ich im o.ä. Thread einen Link (Windows sicherer machen...)

[Helikiller]

Hi Wolle,
wenn ich den Router zurücksetze( Stecker raus, Stecker rein) klappt die Inet- verbindung wieder.
Jedoch taucht der Fehler bis zu 200 mal pro Tag auf
Ich habe keine Ahnung was das ist.
Manchmal normalisiert sich das ganze auch "wie von selbst" wieder.

Gruß
Michael

P.S. deinen Link werde ich mal probieren

Ich meine aber den Splitter

[MarkOsten]

Hi Jens,
ich habe Spybot durchlaufen lassen.
Das Programm hat 22 verfolgende Cookies gefunden und entfernt.
Irgendwie kann ich mir nicht so recht vorstellen das es das gewesen ist.
Der Port 3069 wird angeblich nicht angesprochen .
Der Rechner hängt als Laptop in einem Windows W-LAN.
Gruß
Michael

[deft]

Bei WLAN:

Ist die IP 192.168.2.100 die von Deinem Laptop!? Wenn ja:

Ist

1. Verschlüsselung an?
2. DHCP aus und feste IP vergeben - also oben die?
3. MAC-Adressen Filter aktiv - also nur die MAC-Adresse (feste Netzwerkadresse Deiner WLAN-Karte im Notebook) darf Zugriff auf Router haben?
4. Firewall/NAT richtig konfiguriert - ich denke ggf. Setup mal hier posten

WLAN ist werksseitig meistens wie ne öffentliche Toilette konfiguriert - für alle offen und ziemlich beschis.....

[MarkOsten]

Hi Jens,
zu 1 nein
zu 2 ja
zu 3 ja
zu 4 Ich hoffe schon, hab aber wenig bis keine Ahnung

Gruß
Michael

[speedy]

verfolgende Cookies

Was ist denn das ? ... verfolgen mich die Cookies da auf dem Weg zur Arbeit etc. oder wie ?

[deft]

Dann versuch mal 1. zu ändern - wenn Du ein wenig Zeit hast! Was sagt denn aports? Irgendwelche Merkwürdikeiten? Falls Du nichts besseres vorhast und noch die Lust und Zeit, 2 Stunden "rumzutüfteln" dann Lies Dich mal hier durch: www.ntsvcfg.de - aber nicht gleich alles jetzt machen, sondern in Ruhe ... solltest du "falsche" Dienste abschalten ist die Inet verbindung futsch - oder Du kommst selbst nicht mehr an Deinen Rechner. Die Kiste einigermassen sicher zu bekommen ist "Fummelskram" - wie beim Heli

Das die verfolgenden Cookies gekillt sind ist ok - aber das war nicht die Ursache... die versuchen nur dein Surfverhalten für Werbezwecke auszunutzen...


Aus der SpyBot FAQ:

Warum finden andere Anti-Spyware-Anwendungen so viel mehr verfolgende Cookies? [Link]
Einige Anti-Spyware Anwendungen gehen dazu über, beinahe jeden Cookie von dritter Seite, den sie finden, als verfolgenden Cookie zu erkennen. In vielen Fällen ist dies auch mehr oder weniger richtig, da viele eine GUID (Generic Unique Identifier) enthalten.

Aber anstatt unsere Erkennungs-Datenbank mit Tausenden von Cookies aufzublähen, ziehen wir es vor, unseren Benutzern zu empfehlen, die Browser-Einstellungen so zu ändern, dass solche Cookies geblockt werden, bevor sie überhaupt auf das System gelangen können:

Internet Explorer: Öffnen sie die "Internetoptionen" aus dem "Extra"-Menü. Wählen sie die Registerkarte "Datenschutz", und heben sie die Einstellungen auf mindestens "Mittel"; oder wählen sie die Schaltfläche "Erweitert...", aktivieren sie "Automatische Cookiebehandlung aufheben" und setzen sie "Cookies von Drittanbietern" auf "Sperren".
Bild 1 Bild 2
Firefox: Öffnen sie die "Einstellungen" aus dem "Extras"-Menü. Klicken sie auf das "Datenschutz"-Symbol und öffnen sie die Kategorie "Cookies". Setzen sie dort einen Haken bei "nur von der ursprünglichen Website" direkt unter "Cookies akzeptieren".
Bild
Mozilla/Netscape: Wählen sie "Einstellungen" aus dem "Bearbeiten"-Menü. Öffnen sie die Gruppe "Privatsphäre & Sicherheit" und wählen sie dort "Cookies" an. Setzen sie die Cookie-Behandlung auf "Nur an die ursprüngliche Seite gesendete Cookies akzeptieren".
Bild
Opera: Öffnen sie "Einstellungen" aus dem "Extras"-Menü. Klicken sie dort auf "Privatsphäre" in der Liste links, und stellen sie rechts unter "Drittanbietercookies" "Alle Cookies abweisen" ein.
Bild