18. august 2013 - 22:14Der er
22 kommentarer og 1 løsning
DDOS Attack på min router.
Hej Eksperter.
Jeg bor på et college og har connected min router til den internet port der er til mit værelse. Jeg har sat den op som man skal og den fungere fint, men da jeg går ind og ser loggen kan jeg se at der kører et DDOS attack og min netgear router skriver følgende:
[DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 50229, Sunday, August 18, 2013 19:18:47 [DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 62754, Sunday, August 18, 2013 19:08:47 [DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 51549, Sunday, August 18, 2013 18:58:47 [DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 62175, Sunday, August 18, 2013 18:48:47 [DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 61502, Sunday, August 18, 2013 18:38:46 [DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 63924, Sunday, August 18, 2013 18:28:46 [DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 55007, Sunday, August 18, 2013 18:18:46 [DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 63608, Sunday, August 18, 2013 18:08:46 [DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 58844, Sunday, August 18, 2013 17:58:46
Den kører uafbrudt 24 timer i døgnet hver 10 minut kan jeg se, samme ip hver gang. Er der nogle der ved hvordan jeg eventuelt finder ud af hvem der står bag eller er det bare helt naturligt?
Det er en enhed på dit eget netværk, altså ikke en udefra. Adressen 192.168.1.194 er en privat IP adressen (inden for dit eget netværk), og det tyder derfor på, at det er en enhed som du har tilsluttet på dit netværk (eller en person i nærheden, som har koblet sig på dit trådløse netværk), som står og foretager denne handling. Kan du oplyse om hvilke IP adresser dine egne enheder har fået tildelt? Har du sikret dit trådløse netværk med kode? Du burde også kunne se i routeren, hvilke enheder som er koblet på dit netværk. Hvis du kan se enheder som ikke er dine, skal du ændre koder med det samme på din router. Både til admin adgangen, og til dit trådløse netværk. Hvis det er en af dine egne enheder, skal der kigges nærmere på den som har fået tildelt 192.168.1.194. For mig lyder det som en DHCP adresse som er blevet tildelt en enhed (fx en mobiltelefon eller en bærbar PC).
DDOS angreb er typisk langt mere end 1 gang hvert 10'ende minut :b lyder i mit hoved mere som om at en anden router forsøger at tildele dig en ny ip adresse (hvilket ikke er muligt da din router også har DHCP slået til?)
Det ligner mest af alt noget false/positive (grundet systematikken og det begrænsede antal). Såfremt 192.168.1.x er dit eget subnet, har du så fundet ud af hvilken enhed der har 192.168.1.194? (dette kan man ofte se i routerens DHCP log).
@fhansen82 okay, mine enheder har 10.0.0.4 - 10.0.0.5 osv op til 8, heraf er en af mine venners computer connected, jeg har ikke registreret nogle som er på netværket uden at måtte være det.
@sonalias, det er sådan at der er en router som styrer det overordnede, kan det være den er gør at min router registrere det som et Ddos attack? Det var i sin tid 8 år tilbage lavet sådan at de fleste kun brugte stik ind i vægen også ind i computeren, det har vel noget at sige, de siger dog nu at vi gerne må have router med
@chalde, jeg har været inde og kigge og nogle gange står der at den ip har fået succesfuld adgang inde i loggen, men det er først sket igår. Mener du at det er min egen computer der får adgang fordi det kan ikke passe i og med det er første gang den er blevet succesfuld gennemført.
Det er ikke en der forsøger fra min egen computer via et program at få adgang til mit netværk eller en virus eller lignende der forsøger at komme ind til nogle personfølsomme oplysninger? Jeg har skannet min computer for virus og dem melder ingen virus, men der var en side lidt tilbage for mit virus program skrev blokeret pga trojansk hest spiller det nogen rolle nu den er blokeret?
Hvis dit interne subnet er 10.0.0.x, så tyder meget på at 192.168.1.194 kommer ude fra (192.168.1.x må være dit college's interne subnet). Hvilken ekstern IP har din router (ikke dens administrationsinterface/gateway du kan se fra din computer, men den IP den har fået tildelt fra det eksterne netværk).
Har du forsøgt at kontakte de IT-ansvarlige og forhøre dig?
Jeg er lige pt i skole, er der nogen mulighed for at jeg kan checke det fra skolen af? Nej, da det skal gennem mange led da den IT-ansvarlige ikke har noget forstand på det, så det skal gennem det firma der står for internettet på vores college. Men jeg har tideligere lagt mærke til at jeg kan få adgang til admin login til den router der er den der styrer det hele ved bare at stikke et kabel fra porten i vægen til min computer. Så ved at det er Zyxel router der står og sørger for alt trafikken. Men det kan vel ikke være fordi der er nogle der er kommet igennem deres firewall?
Tvivler helt ærligt stærkt på at der er tale om nogen som helst suspekt aktivitet her med 10 mins mellemrum :b Anyway, nej du kan som sådan ikke tjekke det fra skolen (medmindre din PC hjemme står tændt på teamviewer startet). Min ja smid lige ip på din router.
#19 I forbindelse med din routers IP, så kan vi konkludere at det første kommer ude fra (fra det netværk du er tilkoblet i første omgang).
Vedr. Wlan, så tyder det bare på at nogen eller noget forsøger at forbinde til dit trådløse netværk. Såfremt din sikkerhed er i orden, så minimerer det sandsynligheden for uønskede gæster. Det er dog altid fornuftigt at kigge på loggen om der befinder sig uønskede enheder på dit netværk.
Ja så er spørgsmålet bare om det er den router jeg er tilkoblet gennem væggen der forsøger at give min router en ip hvilket ikke er muligt er det rigtigt forstået?
Jeg har en sikker adgangskode så de burde umuligt kunne bryde igennem, er der en mulighed for at jeg kan finde ud af hvem via MAC Adressen, som min router jo oplyser.
arp -a i windows cmd returnerer mac + ip for alle på dit netværk, men forvent ikke at finde det apple produkt da jeg blev afvist :) Tror ikke der er nogen sammenhæng mellem de 2.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
