‎TCP Null Scan, SYN Flood - muss man reagieren?

Telekom hilft Community

Telekom Business Community

Privatkunden

Telekom Shops

Kontakt

TCP Null Scan, SYN Flood - muss man reagieren?

vor 13 Jahren

Folgende Ausgabe:

23.03.2013 10:58:35 **TCP Null Scan** 174.82.195.80, 37310->> 217.229.7.3, 21311 (von PPPoE - Eingang)

23.03.2013 08:35:05 **SYN Flood Stop**
23.03.2013 08:35:01 **SYN Flood** 192.168.2.233, 3614->> 66.196.66.212, 80 (von PPPoE - Ausgang)
23.03.2013 08:35:01 **SYN Flood** 192.168.2.233, 3613->> 87.248.217.251, 80 (von PPPoE - Ausgang)
23.03.2013 08:35:01 **SYN Flood** 192.168.2.233, 3683->> 157.55.56.143, 80 (von PPPoE - Ausgang)
23.03.2013 08:35:01 **SYN Flood** 192.168.2.233, 3612->> 67.63.50.38, 80 (von PPPoE - Ausgang)
23.03.2013 08:35:00 **SYN Flood** 192.168.2.233, 3685->> 111.221.77.165, 33033 (von PPPoE - Ausgang)
23.03.2013 08:34:58 **SYN Flood** 192.168.2.233, 3611->> 204.145.82.20, 80 (von PPPoE - Ausgang)
23.03.2013 08:34:58 **SYN Flood** 192.168.2.233,

Hinweis:

Dieser Beitrag wurde geschlossen.

Hinweis:

Dieser Beitrag ist nicht mehr für Antworten oder Kommentare geöffnet und ist nicht mehr für die Mitglieder der Community sichtbar.

1068

vor 13 Jahren
Hallo uwe,

auch wenn ich mich als "technikaffin" bezeichnen würde, kann ich damit nicht viel anfangen. Daher habe ich Menschen gefragt, die sich damit bestens auskennen und sobald ich Rückmeldung habe, werde ich es Sie wissen lassen.

Viele Grüße

Stephanie
0
0
vor 13 Jahren
Hallo,

das kommt in solchen Sachen immer darauf an. Eine SYN Flood ist eine Art DDoS, die allerdings nicht allzu häufig eingesetzt wird. Hierbei wird ein Ziel, in dem Fall könnte es dein Speedport sein, per TCP angefragt eine VErbindung aufzubauen. Dies geschieht mittels einem einfachen 3. Punkte ystem: Anfrage-Akzeptieren/Server-Akzeptieren/Client (grob ausgedrückt). Bei einer SYN Flood antwortet der Client nicht auf das SYN-ACK Paket und sendet erneut eine SYN-Anfrage. Da der Router davon ausgeht, das die Anfrage sich nur verzögert, hält dieser den Verbindungswunsch weiterhin gespeichert um im Falle eines ACK Paketes reagieren zu können, ohne die Verbindung terminieren zu müssen.

Ziel des Angriffes ist es, so viele SYN-Anfragen an den Router zu schicken, dass der Speicher nicht mehr ausreicht um neue SYN-Anfragen zu speichern. Zur Flge hätte dies, das keine weiteren TCP-Verbindungen mehr aufgebaut werden können und der Server/Router seinen Dienst quittiert.

Allerdings kann dies auch, was bei dir vermutlich der Fall sein wird, ein Filesharing Programm, zum Beispiel uTorrent sein, dieser schickt ebenfalls eine Menge SYN-Anfragen ins Internet (also von intern nach extern), was vom Speedport als möglicher Angriff von dir auf einen anderen Service gewertet wird. Das ganze ist bei Filesahringprogrammen aber normal und hat höchstens eine Beeinträchtigung der Geschwindigkeit beim Datenaustausch des Programms (nicht anderer Programm!). Nutzt du aber wissentlich in dem Netzwerk (auch andere Rechner, Kinder, Verwandte, sonst wer) kein Filesharingprogramm, dann solltest du alle Rechner auf Schadsoftware untersuchen.

Tatsache ist, dass der Rechner keine IP-Adresse aus dem standard-DHCP-Bereich des Speedports erhält (192.168.2.233) Also muss der Bereich entweder geändert worden sein, oder eine manuelle feste IP-Adresse hat sich jemand eingestellt. Wenn du oder keiner deiner Mitmenschen, die Zugriff auf das Netzwerk haben, soetwas gemacht haben, kann man auch daran denken das WLAN-Passwort zu ändern um einem möglichen ungebetenen Gast vorzubeugen.

Grüße
Florian
0
0
vor 13 Jahren
Hallo uwe,

nach der Rückmeldung aus unserer Technik brauchen Sie sich keine Sorgen machen, wenn Sie keine Portfreigabe eingerichtet haben. Diese Einträge sind nicht ungewöhnlich.

Viele Grüße

Stephanie
0
0