DoS Attacke geblockt?

Diskutiere DoS Attacke geblockt? im Security / Firewall / Virenabwehr Forum im Bereich Software Forum; Hallo zusammen, hab den Router gewechselt nun ein Speedport W700V Unter Status -> Details -> Router Zugangsversuche hab ich dieses Log...
T

Titus99

Threadstarter
Mitglied seit
02.07.2007
Beiträge
38
Hallo zusammen,

hab den Router gewechselt nun ein Speedport W700V

Unter Status -> Details -> Router Zugangsversuche

hab ich dieses Log gefunden:

20.10.2007 16:25:10 **Smurf** 169.254.255.255->> 169.254.117.228, Type:3, Code:3 (von PPPoE1 - Ausgang)
20.10.2007 16:24:36 **Smurf** 169.254.255.255->> 169.254.117.228, Type:3, Code:3 (von PPPoE1 - Ausgang)
20.10.2007 16:24:28 **Smurf** 169.254.255.255->> 169.254.117.228, Type:3, Code:3 (von PPPoE1 - Ausgang)
20.10.2007 16:24:26 **Smurf** 169.254.255.255->> 169.254.117.228, Type:3, Code:3 (von PPPoE1 - Ausgang)
20.10.2007 16:24:25 **Smurf** 169.254.255.255->> 169.254.117.228, Type:3, Code:3 (von PPPoE1 - Ausgang)
20.10.2007 16:24:24 **Smurf** 169.254.255.255->> 169.254.117.228, Type:3, Code:3 (von PPPoE1 - Ausgang)
20.10.2007 16:24:23 **Smurf** 169.254.255.255->> 169.254.117.228, Type:3, Code:3 (von PPPoE1 - Ausgang)
20.10.2007 16:24:21 **Smurf** 169.254.255.255->> 169.254.117.228, Type:3, Code:3 (von PPPoE1 - Ausgang)
20.10.2007 16:24:19 **Smurf** 169.254.255.255->> 169.254.117.228, Type:3, Code:3 (von PPPoE1 - Ausgang)
20.10.2007 16:24:18 **Smurf** 169.254.255.255->> 169.254.117.228, Type:3, Code:3 (von PPPoE1 - Ausgang)
20.10.2007 16:24:16 **Smurf** 169.254.255.255->>
20.10.2007 12:00:46 **TCP FIN Scan** 84.131.112.58, 63011->> 192.168.2.2, 4662 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 172.173.109.243, 47555->> 192.168.2.2, 3629 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 88.117.110.117, 53339->> 192.168.2.2, 4662 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 84.166.126.155, 4000->> 192.168.2.2, 3623 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 82.240.43.39, 4662->> 192.168.2.2, 3606 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 84.44.246.44, 4662->> 192.168.2.2, 3589 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 77.133.22.65, 4662->> 192.168.2.2, 3621 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 89.245.232.227, 34744->> 192.168.2.2, 4662 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 87.123.93.229, 4662->> 192.168.2.2, 3588 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 87.78.148.151, 39191->> 192.168.2.2, 3628 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 84.182.241.90, 4662->> 192.168.2.2, 3611 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 85.177.16.227, 80->> 192.168.2.2, 3603 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 84.138.198.219, 4662->> 192.168.2.2, 3600 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 88.76.84.214, 4662->> 192.168.2.2, 3615 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 87.122.38.88, 4667->> 192.168.2.2, 3601 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 80.138.62.166, 1500->> 192.168.2.2, 4662 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 88.70.93.233, 4662->> 192.168.2.2, 3605 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 88.134.7.23, 38300->> 192.168.2.2, 3598 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 91.34.29.233, 4662->> 192.168.2.2, 3625 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 77.183.60.254, 4662->> 192.168.2.2, 3626 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 89.27.198.136, 1836->> 192.168.2.2, 4662 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 84.167.166.158, 8070->> 192.168.2.2, 3631 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 84.190.83.188, 26840->> 192.168.2.2, 3632 (von PPPoE1 - Eingang)
20.10.2007 12:00:46 **TCP FIN Scan** 85.176.194.38, 58592->> 192.168.2.2, 3594 (von PPPoE1 - Eingang)
20.10.2007 11:31:41 **Ping of Death/Tear Drop** 200.127.28.157, 28908->> 0.0.0.0, 19892 (von PPPoE1 - Ausgang)
20.10.2007 10:44:47 NTP Datum und Uhrzeit wurden aktualisiert.
20.10.2007 10:29:00 **Ping of Death/Tear Drop** 218.121.157.78, 55708->> 0.0.0.0, 12034 (von PPPoE1 - Ausgang)
20.10.2007 10:28:56 **Ping of Death/Tear Drop** 87.69.49.104, 54964->> 0.0.0.0, 51325 (von PPPoE1 - Ausgang)
20.10.2007 10:28:55 **Ping of Death/Tear Drop** 200.127.28.157, 11437->> 0.0.0.0, 43139 (von PPPoE1 - Ausgang)
20.10.2007 10:28:55 **Ping of Death/Tear Drop** 151.47.69.224, 16765->> 0.0.0.0, 61827 (von PPPoE1 - Ausgang)
20.10.2007 10:28:32 **Ping of Death/Tear Drop** 84.179.101.123, 29933->> 0.0.0.0, 19988 (von PPPoE1 - Ausgang)
20.10.2007 10:28:26 **Ping of Death/Tear Drop** 140.116.72.145, 12707->> 0.0.0.0, 59591 (von PPPoE1 - Ausgang)
20.10.2007 10:28:21 **Ping of Death/Tear Drop** 85.87.21.77, 56187->> 0.0.0.0, 22293 (von PPPoE1 - Ausgang)
20.10.2007 10:28:21 **Ping of Death/Tear Drop** 90.146.37.8, 40961->> 0.0.0.0, 1843 (von PPPoE1 - Ausgang)
20.10.2007 10:28:14 **Ping of Death/Tear Drop** 84.222.153.171, 1980->> 0.0.0.0, 63268 (von PPPoE1 - Ausgang)
20.10.2007 10:28:14 **Ping of Death/Tear Drop** 80.39.64.28, 13719->> 0.0.0.0, 13109 (von PPPoE1 - Ausgang)

Macht mich mal etwas schlauer! Sind das nun von der Routerfirewall "geblockte" DoS Attacken? Oder hatte ich Besuch auf dem Rechner?

Danke Titus
 
S

Samtron

Mitglied seit
14.12.2005
Beiträge
4.023
welche unterschieden haben diese IP Adressen?
169.254.255.255
192.168.xy.xy
danke
 
C

computerexperte06

Mitglied seit
29.01.2007
Beiträge
318
Alter
28
Standort
Lüneburg
die IP: "169.254.255.255" ist eine eingeschrängte kontingentität und bedeutet das du keine verbindung ins internet hast.

Die IP: "192.168.xy.xy" ist deine IP vom Rechner die du eingeben hast oder das sich der DHCP-Server rausgesucht hast.

Diese beiden IPs kommen von deinem eigenen Rechner.
 
T

Titus99

Threadstarter
Mitglied seit
02.07.2007
Beiträge
38
router

169.254.255.255 mir nicht bekannt? evtl vorher zugeteilt vom Router?

192.168.xy.xy Lokales Netzwerk 1x Router 2x PCs
 
S

Samtron

Mitglied seit
14.12.2005
Beiträge
4.023
hallo zusammen Ich hatte von meinem Router mit Wlan diese IP 169.254.255.255 bekommen aber verstehe das nicht was hatte ich falsch bei einstellung gemacht
vielen dank
 
L

Larix

Mitglied seit
08.01.2006
Beiträge
992
hallo zusammen Ich hatte von meinem Router mit Wlan diese IP 169.254.255.255 bekommen aber verstehe das nicht was hatte ich falsch bei einstellung gemacht
vielen dank
Nein, du hast garnichts vom Router bekommen. Deine Netzwerkkarte hat diese IP weil du keine IP Adresse bekommen hast. Siehe meinen Link einen Post von mir über dem hier.

Hast du dir ein Passwort auf dem Router vergeben und dieses auch in Windows eingetragen?
 
S

Samtron

Mitglied seit
14.12.2005
Beiträge
4.023
ja Ich hatte mit PW gemacht aber ich bekomme diese IP
danke
 
T

Titus99

Threadstarter
Mitglied seit
02.07.2007
Beiträge
38
hm...könntet Ihr bitte zum Ursprungpost zurückkommen.

Was ist das denn nu gewesen?
 
C

computerexperte06

Mitglied seit
29.01.2007
Beiträge
318
Alter
28
Standort
Lüneburg
soweit ich es sehen kann, hast du bestimmt keine internetseite erhalten, die du aufgerufen hast. Der Router sperrt dir einfach nur den Zugang ins Internet. Du musst warscheinlich eine Regel erstellen, damit du ins Internet kannst.
 
S

Samtron

Mitglied seit
14.12.2005
Beiträge
4.023
kannst du mal dein Router reseten als hartware?
 
T

Tobias28

Mitglied seit
21.09.2005
Beiträge
853
hm...könntet Ihr bitte zum Ursprungpost zurückkommen.

Was ist das denn nu gewesen?
Ich würde sagen, das waren geblockte DoS Attacken kombiniert mit IP-Spoofing.

1) Smurf Attacke
Bei einem Smurf-Angriff sendet ein Angreifer Pings an die Broadcast-Adresse eines Netzwerks (also hier wohl 169.254.255.255). Als Absender wird in diese IP-Pakete die Adresse des Opfers (169.254.117.228) eingetragen. Je nach der Konfiguration des Routers leitet dieser die Anfrage in das innere Netz weiter. Das hat zur Folge, dass alle angeschlossenen Clients dem Opfer auf die vermeintliche Anfrage antworten. Je nach Anzahl der Clients kann der Angreifer auf diese Art mit nur einem ICMP-Paket eine hohe Anzahl von Antworten an das Opfer erzeugen. ...

2) Ping of Death
Durch bösartige Fragmentierung eines Pakets kann die maximale Packetgrösse überschritten werden und somit einen Systemcrash verursachen.

3) TCP FIN Scan
Es wird ein TCP Paket gesendet, das nur das FIN Flag gesetzt hat. Da dies ohne Verbindungskontext eine ungültige Kombination ist, wird im Falle, dass der Zielport geschlossen ist ein Paket mit gesetztem RST Flag zurückgesendet. Das ganze dient also dazu herausfinden, ob ein Port offen ist.
 
T

Titus99

Threadstarter
Mitglied seit
02.07.2007
Beiträge
38
Ich würde sagen, das waren geblockte DoS Attacken kombiniert mit IP-Spoofing.

1) Smurf Attacke
Bei einem Smurf-Angriff sendet ein Angreifer Pings an die Broadcast-Adresse eines Netzwerks (also hier wohl 169.254.255.255). Als Absender wird in diese IP-Pakete die Adresse des Opfers (169.254.117.228) eingetragen. Je nach der Konfiguration des Routers leitet dieser die Anfrage in das innere Netz weiter. Das hat zur Folge, dass alle angeschlossenen Clients dem Opfer auf die vermeintliche Anfrage antworten. Je nach Anzahl der Clients kann der Angreifer auf diese Art mit nur einem ICMP-Paket eine hohe Anzahl von Antworten an das Opfer erzeugen. ...

2) Ping of Death
Durch bösartige Fragmentierung eines Pakets kann die maximale Packetgrösse überschritten werden und somit einen Systemcrash verursachen.

3) TCP FIN Scan
Es wird ein TCP Paket gesendet, das nur das FIN Flag gesetzt hat. Da dies ohne Verbindungskontext eine ungültige Kombination ist, wird im Falle, dass der Zielport geschlossen ist ein Paket mit gesetztem RST Flag zurückgesendet. Das ganze dient also dazu herausfinden, ob ein Port offen ist.
Ah okay. Ich kann anhand des Logs nämlich nichts erkennen bzw. ob eine Attacke "durchgegangen" dann scheint das System ja kein Loch zu haben.

Danke Titus
 
T

Tobias28

Mitglied seit
21.09.2005
Beiträge
853
Ah okay. Ich kann anhand des Logs nämlich nichts erkennen bzw. ob eine Attacke "durchgegangen" dann scheint das System ja kein Loch zu haben.
Danke Titus
Garantieren, dass keine Attacke erfolgreich war kann dir niemand. Man kann dir bloss sicher sagen, dass jemand mehrfach versucht hat dein System lahmzulegen und geöffnete Ports zu finden und ein Teil der Attacken (nämlich die im Log) geblockt wurden. Im Gegenteil, ich würde mein System mal gründlich untersuchen, z.B nach dieser Vorgehensweise:
http://www.hijackthis-forum.de/showthread.php?t=2912
 
Thema:

DoS Attacke geblockt?

DoS Attacke geblockt? - Ähnliche Themen

  • Security: DOS-Attacken mithilfe IIS Logs erkennen

    Security: DOS-Attacken mithilfe IIS Logs erkennen: <p>Welche Möglichkeiten das Tool Log Parser bietet, demonstriert Jawahar Ganesh <a...
  • Weltweiter Twitter-Ausfall wegen DoS-Attacke

    Weltweiter Twitter-Ausfall wegen DoS-Attacke: Die Verbindung zum Webserver ist seit etwa 15 Uhr unterbrochen. Um 16.49 Uhr hat Twitter den Angriff offiziell bestätigt. Es gibt aber noch keine...
  • Microsoft Communicator anfällig für DoS-Attacken Meldung vorlesen und MP3-Download

    Microsoft Communicator anfällig für DoS-Attacken Meldung vorlesen und MP3-Download: Quelle und ganzer Bericht bei Heise.de
  • Denial of Service Attacks (DOS)

    Denial of Service Attacks (DOS): Hallo Zusammen, Willkommen zu einer weiteren Dokumentation von mir. Heute werde ich Euch über einen Angriff berichten, das in der Underground...
  • Drohung DOS Attacke auf winboard.org

    Drohung DOS Attacke auf winboard.org: Hallo Zusammen Heute Nacht habe ich ein Anonymes Mail erhalten, indem mit einer DOS Attacke auf WinBoard gedroht wurde. Ich habe deshalbt den...
  • Ähnliche Themen

    Oben