Avatar billede craver35 Nybegynder
18. august 2013 - 22:14 Der er 22 kommentarer og
1 løsning

DDOS Attack på min router.

Hej Eksperter.

Jeg bor på et college og har connected min router til den internet port der er til mit værelse. Jeg har sat den op som man skal og den fungere fint, men da jeg går ind og ser loggen kan jeg se at der kører et DDOS attack og min netgear router skriver følgende:

[DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 50229, Sunday, August 18, 2013 19:18:47
[DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 62754, Sunday, August 18, 2013 19:08:47
[DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 51549, Sunday, August 18, 2013 18:58:47
[DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 62175, Sunday, August 18, 2013 18:48:47
[DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 61502, Sunday, August 18, 2013 18:38:46
[DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 63924, Sunday, August 18, 2013 18:28:46
[DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 55007, Sunday, August 18, 2013 18:18:46
[DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 63608, Sunday, August 18, 2013 18:08:46
[DoS Attack: TCP/UDP Echo] from source: 192.168.1.194, port 58844, Sunday, August 18, 2013 17:58:46

Den kører uafbrudt 24 timer i døgnet hver 10 minut kan jeg se, samme ip hver gang. Er der nogle der ved hvordan jeg eventuelt finder ud af hvem der står bag eller er det bare helt naturligt?

Mvh.
Avatar billede HKW Nybegynder
18. august 2013 - 22:23 #1
Hm. Hvilken ip har din computer?
Avatar billede fhansen82 Mester
18. august 2013 - 22:36 #2
Det er en enhed på dit eget netværk, altså ikke en udefra. Adressen 192.168.1.194 er en privat IP adressen (inden for dit eget netværk), og det tyder derfor på, at det er en enhed som du har tilsluttet på dit netværk (eller en person i nærheden, som har koblet sig på dit trådløse netværk), som står og foretager denne handling. Kan du oplyse om hvilke IP adresser dine egne enheder har fået tildelt? Har du sikret dit trådløse netværk med kode? Du burde også kunne se i routeren, hvilke enheder som er koblet på dit netværk. Hvis du kan se enheder som ikke er dine, skal du ændre koder med det samme på din router. Både til admin adgangen, og til dit trådløse netværk. Hvis det er en af dine egne enheder, skal der kigges nærmere på den som har fået tildelt 192.168.1.194. For mig lyder det som en DHCP adresse som er blevet tildelt en enhed (fx en mobiltelefon eller en bærbar PC).
Avatar billede sonalias Seniormester
19. august 2013 - 08:57 #3
DDOS angreb er typisk langt mere end 1 gang hvert 10'ende minut :b lyder i mit hoved mere som om at en anden router forsøger at tildele dig en ny ip adresse (hvilket ikke er muligt da din router også har DHCP slået til?)
Avatar billede sonalias Seniormester
19. august 2013 - 08:58 #4
Alternativt er der en på dit kolegie der læser datalogi / software og har lavet en lille netværks ID app :)
Avatar billede fhansen82 Mester
19. august 2013 - 09:57 #5
#3: DDOS angrebene bliver registeret på routeren. Mener du at der er en anden router, som prøver at give routeren en IP?
Avatar billede sonalias Seniormester
19. august 2013 - 10:21 #6
Det var mit bud på hvad en router ville kunne opfatte som et DDOS atk, ja :)
Avatar billede sonalias Seniormester
19. august 2013 - 10:24 #7
Det du oplever kan i virkeligheden også være din egen computers DHCP request der kommer i loggen... Hvad er din egen IP?
Avatar billede sonalias Seniormester
19. august 2013 - 10:27 #8
though, DHCP requests normalt sker på port 67/68... hmm
Avatar billede fhansen82 Mester
19. august 2013 - 10:29 #9
#5: Aha, interessant.
Avatar billede chalde Seniormester
19. august 2013 - 10:44 #10
Det ligner mest af alt noget false/positive (grundet systematikken og det begrænsede antal).
Såfremt 192.168.1.x er dit eget subnet, har du så fundet ud af hvilken enhed der har 192.168.1.194? (dette kan man ofte se i routerens DHCP log).
Avatar billede craver35 Nybegynder
20. august 2013 - 07:25 #11
@HKW min ip er 10.0.0.5 men det er vel den min router giver mig og ikke den udadtil.
Avatar billede craver35 Nybegynder
20. august 2013 - 07:28 #12
@fhansen82 okay, mine enheder har 10.0.0.4 - 10.0.0.5 osv op til 8, heraf er en af mine venners computer connected, jeg har ikke registreret nogle som er på netværket uden at måtte være det.
Avatar billede craver35 Nybegynder
20. august 2013 - 07:31 #13
@sonalias, det er sådan at der er en router som styrer det overordnede, kan det være den er gør at min router registrere det som et Ddos attack? Det var i sin tid 8 år tilbage lavet sådan at de fleste kun brugte stik ind i vægen også ind i computeren, det har vel noget at sige, de siger dog nu at vi gerne må have router med
Avatar billede craver35 Nybegynder
20. august 2013 - 07:34 #14
@chalde, jeg har været inde og kigge og nogle gange står der at den ip har fået succesfuld adgang inde i loggen, men det er først sket igår. Mener du at det er min egen computer der får adgang fordi det kan ikke passe i og med det er første gang den er blevet succesfuld gennemført.
Avatar billede craver35 Nybegynder
20. august 2013 - 07:36 #15
Det er ikke en der forsøger fra min egen computer via et program at få adgang til mit netværk eller en virus eller lignende der forsøger at komme ind til nogle personfølsomme oplysninger? Jeg har skannet min computer for virus og dem melder ingen virus, men der var en side lidt tilbage for mit virus program skrev blokeret pga trojansk hest spiller det nogen rolle nu den er blokeret?
Avatar billede chalde Seniormester
20. august 2013 - 08:21 #16
Hvis dit interne subnet er 10.0.0.x, så tyder meget på at 192.168.1.194 kommer ude fra (192.168.1.x må være dit college's interne subnet). Hvilken ekstern IP har din router (ikke dens administrationsinterface/gateway du kan se fra din computer, men den IP den har fået tildelt fra det eksterne netværk).

Har du forsøgt at kontakte de IT-ansvarlige og forhøre dig?
Avatar billede craver35 Nybegynder
20. august 2013 - 10:11 #17
Jeg er lige pt i skole, er der nogen mulighed for at jeg kan checke det fra skolen af?
Nej, da det skal gennem mange led da den IT-ansvarlige ikke har noget forstand på det, så det skal gennem det firma der står for internettet på vores college. Men jeg har tideligere lagt mærke til at jeg kan få adgang til admin login til den router der er den der styrer det hele ved bare at stikke et kabel fra porten i vægen til min computer. Så ved at det er Zyxel router der står og sørger for alt trafikken. Men det kan vel ikke være fordi der er nogle der er kommet igennem deres firewall?
Avatar billede sonalias Seniormester
20. august 2013 - 10:48 #18
Tvivler helt ærligt stærkt på at der er tale om nogen som helst suspekt aktivitet her med 10 mins mellemrum :b Anyway, nej du kan som sådan ikke tjekke det fra skolen (medmindre din PC hjemme står tændt på teamviewer startet). Min ja smid lige ip på din router.
Avatar billede craver35 Nybegynder
20. august 2013 - 14:25 #19
Min routers log viser nu også dette
[WLAN access rejected: incorrect security] from MAC address 9c:20:7b:db:d6:74, Monday, August 19, 2013 19:13:32

Min routers ip er 192.168.1.229
Avatar billede chalde Seniormester
20. august 2013 - 15:00 #20
#19 I forbindelse med din routers IP, så kan vi konkludere at det første kommer ude fra (fra det netværk du er tilkoblet i første omgang).

Vedr. Wlan, så tyder det bare på at nogen eller noget forsøger at forbinde til dit trådløse netværk. Såfremt din sikkerhed er i orden, så minimerer det sandsynligheden for uønskede gæster. Det er dog altid fornuftigt at kigge på loggen om der befinder sig uønskede enheder på dit netværk.
Avatar billede craver35 Nybegynder
21. august 2013 - 10:02 #21
Ja så er spørgsmålet bare om det er den router jeg er tilkoblet gennem væggen der forsøger at give min router en ip hvilket ikke er muligt er det rigtigt forstået?

Jeg har en sikker adgangskode så de burde umuligt kunne bryde igennem, er der en mulighed for at jeg kan finde ud af hvem via MAC Adressen, som min router jo oplyser.
Avatar billede chalde Seniormester
21. august 2013 - 10:55 #22
Du kan ikke rigtigt bruge en MAC adresse til noget, medmindre du har adgang til hele netværket.
Men kan sige så meget, at det er et Apple-produkt:
http://www.coffer.com/mac_find/?string=9c%3A20%3A7b%3Adb%3Ad6%3A74
Avatar billede sonalias Seniormester
21. august 2013 - 11:45 #23
arp -a i windows cmd returnerer mac + ip for alle på dit netværk, men forvent ikke at finde det apple produkt da jeg blev afvist :)
Tror ikke der er nogen sammenhæng mellem de 2.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester