|
| muligt angreb Fra : Mathias Mejborn |
Dato : 05-12-05 19:44 |
|
Hej gruppe
Min router er begyndt at opføre sig mærkeligt at smide mig af i tide og
utide. Vi kører trådløst med WEP SSID brodcast slået fra, og mac adresse
filtrering.
Jeg kiggede i logfilen, og så noget jeg ikke har været udefor før. De
ipadresser der står i loggen er ikke nogen fra vores netværk.Pånær
80.162.242.13 som er vores WAN ip adresse.
Logfilen ser således ud:
System log: Thu Jan 1 00:00:02 1970 -WAN DHCP Client Connected IP
80.162.242.13 Mon Dec 5 19:37:51 2005 -192.168.2.3 login Firewall log:
Mon Dec 5 19:37:14 2005 1 Blocked by DoS protection 221.208.208.207 Mon
Dec 5 19:37:35 2005 1 Blocked by DoS protection 172.19.96.1
Mon Dec 5 19:37:35 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec
5 19:37:35 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5
19:37:42 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5 19:37:42
2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5 19:37:44 2005 1
Blocked by DoS protection 172.19.96.1
Det er en belkin router.
Nogen der har et bud på hvad der kan være galt?
--
Mvh Mathias Mejborn
| |
Mathias Mejborn (05-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 05-12-05 20:25 |
|
Mathias Mejborn wrote:
> Hej gruppe
>
> Min router er begyndt at opføre sig mærkeligt at smide mig af i tide og
> utide. Vi kører trådløst med WEP SSID brodcast slået fra, og mac adresse
> filtrering.
> Jeg kiggede i logfilen, og så noget jeg ikke har været udefor før. De
> ipadresser der står i loggen er ikke nogen fra vores netværk.Pånær
> 80.162.242.13 som er vores WAN ip adresse.
>
> Logfilen ser således ud:
>
> System log: Thu Jan 1 00:00:02 1970 -WAN DHCP Client Connected IP
> 80.162.242.13 Mon Dec 5 19:37:51 2005 -192.168.2.3 login Firewall log:
> Mon Dec 5 19:37:14 2005 1 Blocked by DoS protection 221.208.208.207 Mon
> Dec 5 19:37:35 2005 1 Blocked by DoS protection 172.19.96.1
>
>
> Mon Dec 5 19:37:35 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec
> 5 19:37:35 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5
> 19:37:42 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5 19:37:42
> 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5 19:37:44 2005 1
> Blocked by DoS protection 172.19.96.1
>
> Det er en belkin router.
>
> Nogen der har et bud på hvad der kan være galt?
>
> --
>
> Mvh Mathias Mejborn
Efter nogle minutter ser min logfil nu således ud:
System log: Thu Jan 1 00:00:02 1970 -WAN DHCP Client Connected IP
80.162.242.13 Mon Dec 5 19:37:51 2005 -192.168.2.3 login Mon Dec 5
19:55:26 2005 -192.168.2.3 logout Mon Dec 5 19:55:59 2005 -192.168.2.3
login Firewall log: Mon Dec 5 20:06:59 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:07:16 2005 1 Blocked by DoS protection
202.99.172.138 Mon Dec 5 20:07:16 2005 1 Blocked by DoS protection
202.99.172.138 Mon Dec 5 20:07:25 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:07:25 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:07:25 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:07:31 2005 1 Blocked by DoS protection
202.111.173.82 Mon Dec 5 20:08:18 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:08:18 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:08:18 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:10:05 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:10:05 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:10:05 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:10:32 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:10:32 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:10:34 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:11:06 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:11:06 2005 1 Blocked by DoS protection
172.19.96.1 Mon Dec 5 20:11:08 2005 1 Blocked by DoS protection
20:11:30 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5 20:11:45
2005 1 Blocked by DoS protection 61.138.136.28 Mon Dec 5 20:11:47 2005 1
Blocked by DoS protection 137.43.95.138 Mon Dec 5 20:11:59 2005 1
Blocked by DoS protection 172.19.96.1 Mon Dec 5 20:11:59 2005 1 Blocked
by DoS
protection 172.19.96.1 Mon Dec 5 20:12:01 2005 1 Blocked by DoS
protection 172.19.96.1 Mon Dec 5 20:12:31 2005 1 Blocked by DoS
protection 172.19.96.1 Mon Dec 5 20:12:31 2005 1 Blocked by DoS
protection 172.19.96.1 Mon Dec 5 20:12:32 2005 1 Blocked by DoS
protection 172.19.96.1
Ipadressen 61.138.136.28 er fra Bejing i Kina, har jeg fundet frem til.
Ipadressen 137.43.95.138 er fra Dublin i Irland har jeg fundet frem til.
Ipadressen 221.208.208.6 er fra Heilongjiang i Kina har jeg fundet frem til.
172.19.96.1 som fremgår meget kan jeg ikke finde frem til. Det kan jeg
heller ikke med, 221.10.254.100, 204.16.208,59, 218.66.104.208,
221.10.158.106 samt 221.10.158.140
Nye ipadresser der også er kommet er: 222.134.45.50, 202.96.87.35 og
221.211.255.7 som jeg heller ikke kan slå op.
Jeg kan blive ved, der kommer flere og flere hele tiden. Jeg har aldrig
set noget ligende.
--
Mvh
Mathias Mejborn
| |
Kasper Dupont (05-12-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 05-12-05 22:08 |
|
Mathias Mejborn wrote:
>
> 172.19.96.1 som fremgår meget kan jeg ikke finde frem til.
http://rfc.sunsite.dk/rfc/rfc1918.html
>
> Jeg kan blive ved, der kommer flere og flere hele tiden. Jeg har aldrig
> set noget ligende.
Det ville jo være en fordel, hvis man fik lidt at vide om,
hvad det er for noget trafik. Og hvis du samtidigt kunne
fortælle hvilke segmenter du har på lokalnettet og hvilke
IP ranges de bruger.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Mathias Mejborn (05-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 05-12-05 22:24 |
|
Kasper Dupont wrote:
> Mathias Mejborn wrote:
>
>>172.19.96.1 som fremgår meget kan jeg ikke finde frem til.
>
>
> http://rfc.sunsite.dk/rfc/rfc1918.html
>
>
>>Jeg kan blive ved, der kommer flere og flere hele tiden. Jeg har aldrig
>>set noget ligende.
>
>
> Det ville jo være en fordel, hvis man fik lidt at vide om,
> hvad det er for noget trafik. Og hvis du samtidigt kunne
> fortælle hvilke segmenter du har på lokalnettet og hvilke
> IP ranges de bruger.
>
Jeg har ingen ide om hvad det er for noget trafik, mit segment på
lokalnettet er 192.168.2.1-5 selv om jeg ikke lige kan se hvad man kan
bruge det til.
Håber det var svar nok. Angrebet er så småt ved at stilne af.
--
Mvh Mathias Mejborn
| |
Mathias Mejborn (05-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 05-12-05 22:30 |
|
Kasper Dupont wrote:
> Mathias Mejborn wrote:
>
>>172.19.96.1 som fremgår meget kan jeg ikke finde frem til.
>
>
> http://rfc.sunsite.dk/rfc/rfc1918.html
>
>
>>Jeg kan blive ved, der kommer flere og flere hele tiden. Jeg har aldrig
>>set noget ligende.
>
>
> Det ville jo være en fordel, hvis man fik lidt at vide om,
> hvad det er for noget trafik. Og hvis du samtidigt kunne
> fortælle hvilke segmenter du har på lokalnettet og hvilke
> IP ranges de bruger.
>
Jeg har ingen ide om hvad det er for noget trafik, mit segment på
lokalnettet er 192.168.2.1-5 selv om jeg ikke lige kan se hvad man kan
bruge det til.
Håber det var svar nok. Det stilner ikke af, tog fejl.
Kasper har kigget lidt herinde: http://rfc.sunsite.dk/rfc/rfc1918.html
kan godt være det er mig der er træt, men hvorfor henviser du til det?
--
Mvh Mathias Mejborn
| |
Christian E. Lysel (05-12-2005)
| Kommentar Fra : Christian E. Lysel |
Dato : 05-12-05 22:35 |
|
Mathias Mejborn wrote:
> Kasper har kigget lidt herinde: http://rfc.sunsite.dk/rfc/rfc1918.html
> kan godt være det er mig der er træt, men hvorfor henviser du til det?
...
3. Private Address Space
The Internet Assigned Numbers Authority (IANA) has reserved the
following three blocks of the IP address space for private internets:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
| |
Mathias Mejborn (05-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 05-12-05 22:47 |
|
Christian E. Lysel wrote:
> Mathias Mejborn wrote:
>
>> Kasper har kigget lidt herinde: http://rfc.sunsite.dk/rfc/rfc1918.html
>> kan godt være det er mig der er træt, men hvorfor henviser du til det?
>
>
> ...
>
> 3. Private Address Space
>
> The Internet Assigned Numbers Authority (IANA) has reserved the
> following three blocks of the IP address space for private internets:
>
> 10.0.0.0 - 10.255.255.255 (10/8 prefix)
> 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
> 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
hehe det burde jeg havde forudset, hvordan kan det så være den fremgår
så meget i logfilen?
--
Mvh Mathias Mejborn
| |
Kasper Dupont (06-12-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 06-12-05 12:06 |
|
Mathias Mejborn wrote:
>
> Christian E. Lysel wrote:
> >
> > 10.0.0.0 - 10.255.255.255 (10/8 prefix)
> > 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
> > 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
>
> hehe det burde jeg havde forudset, hvordan kan det så være den fremgår
> så meget i logfilen?
Det er jo nemmere at sige, hvis man ved hvad det er for en
maskine. Den må jo enten side på dit lokalnet eller hos din
udbyder.
Hvis firewallen havde givet de relevante facts i stedet for
nogle ubegrundede gæt, så ville vi jo have en meget bedre
mulighed for at gennemskue årsagen.
Det kan jo være det bare er pakker fra DNS serveren, som
firewallen blokerer ved en fejltagelse. Men det kan også
være så meget andet.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Klaus Ellegaard (06-12-2005)
| Kommentar Fra : Klaus Ellegaard |
Dato : 06-12-05 12:10 |
|
Kasper Dupont <kasperd@daimi.au.dk> writes:
>Det er jo nemmere at sige, hvis man ved hvad det er for en
>maskine. Den må jo enten side på dit lokalnet eller hos din
>udbyder.
....eller i Langbortistan afhængig af udbyderens ingres-filtre.
Mvh.
Klaus.
| |
Mathias Mejborn (06-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 06-12-05 12:26 |
|
Kasper Dupont wrote:
> Mathias Mejborn wrote:
>
>>Christian E. Lysel wrote:
>>
>>> 10.0.0.0 - 10.255.255.255 (10/8 prefix)
>>> 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
>>> 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
>>
>>hehe det burde jeg havde forudset, hvordan kan det så være den fremgår
>>så meget i logfilen?
>
>
> Det er jo nemmere at sige, hvis man ved hvad det er for en
> maskine. Den må jo enten side på dit lokalnet eller hos din
> udbyder.
>
> Hvis firewallen havde givet de relevante facts i stedet for
> nogle ubegrundede gæt, så ville vi jo have en meget bedre
> mulighed for at gennemskue årsagen.
>
> Det kan jo være det bare er pakker fra DNS serveren, som
> firewallen blokerer ved en fejltagelse. Men det kan også
> være så meget andet.
>
Okay men så må jeg bare se om det er stoppet når jeg kommer hjem. Men
hvordan kan det være fra min udbyder hvis det er et internt Ip segment?
(172.168.0.0) så kan det vel kun være fra mit eget netværk?
Der er ikke nogle maskiner på mit netværk der benytter sig af 172.16.xxx.xxx
--
Mvh Mathias Mejborn
| |
Klaus Ellegaard (06-12-2005)
| Kommentar Fra : Klaus Ellegaard |
Dato : 06-12-05 12:54 |
|
Mathias Mejborn <mathias@mejborn.net> writes:
>Okay men så må jeg bare se om det er stoppet når jeg kommer hjem. Men
>hvordan kan det være fra min udbyder hvis det er et internt Ip segment?
>(172.168.0.0) så kan det vel kun være fra mit eget netværk?
Det kommer igen an på udbyderens filtrering. Hvis andre kunder hos
udbyderen router 1918-adresser ud i verden, og der ikke er nogen
filterering udover på de eksterne forbindelser, kan den trafik godt
havne hos dig.
Den kan selvsagt ikke routes tilbage igen, så der er næsten kun to
muligheder:
1) Det er ikke med vilje (og så er det nok ret uskadeligt),
2) Det er et forsøg på at udnytte en UDP-baseret sårbarhed, der
kan indeholdes i en enkelt pakke. Det skal så efterfølges af
et egentligt angreb, der nødvendigvis må komme fra en ikke-
1918-kilde.
Sidstnævnte er jo ret nem at fikse ved at sørge for, at man har
opdateret alle sine sager.
Mvh.
Klaus.
| |
Mathias Mejborn (06-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 06-12-05 13:25 |
|
Klaus Ellegaard wrote:
> Mathias Mejborn <mathias@mejborn.net> writes:
>
>
>>Okay men så må jeg bare se om det er stoppet når jeg kommer hjem. Men
>>hvordan kan det være fra min udbyder hvis det er et internt Ip segment?
>>(172.168.0.0) så kan det vel kun være fra mit eget netværk?
>
>
> Det kommer igen an på udbyderens filtrering. Hvis andre kunder hos
> udbyderen router 1918-adresser ud i verden, og der ikke er nogen
> filterering udover på de eksterne forbindelser, kan den trafik godt
> havne hos dig.
>
> Den kan selvsagt ikke routes tilbage igen, så der er næsten kun to
> muligheder:
>
> 1) Det er ikke med vilje (og så er det nok ret uskadeligt),
>
> 2) Det er et forsøg på at udnytte en UDP-baseret sårbarhed, der
> kan indeholdes i en enkelt pakke. Det skal så efterfølges af
> et egentligt angreb, der nødvendigvis må komme fra en ikke-
> 1918-kilde.
>
> Sidstnævnte er jo ret nem at fikse ved at sørge for, at man har
> opdateret alle sine sager.
>
> Mvh.
> Klaus.
Okay jeg er lige kommet hjem og der er stadigvæk meget trafik fra
172.19.96.1 også engang i mellem de andre ip adresser (221.203.145.73 mfl.).
Men der er åbenbart ikke noget at gøre udover at lade det stå til.
I skal have mange tak for hjælpen.
--
Mvh Mathias Mejborn
| |
Kasper Dupont (06-12-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 06-12-05 22:56 |
|
Mathias Mejborn wrote:
>
> Men
> hvordan kan det være fra min udbyder hvis det er et internt Ip segment?
Din udbyder kan jo sagtens vælge at bruge RFC1918 adresser
til udstyr, der kun skal kunne adresseres indenfor deres
eget netværk. F.eks. vil endepunkterne i en kommunikation
under normale omstændigheder ikke se noget til IP adresserne
på alle routerne undervejs, så der er ingen hindring for at
nogle af dem kan bruge RFC1918 adresser, og jeg ved da at
TDC bruger nogle af 10.0.0.0/8 adresserne til routere.
Adresserne kan også bruges til servere, der kun skal kunne
tilgås af deres egne brugere. Det kunne f.eks. være DHCP
server, DNS server, proxy server, mail server, nntp server
og mange andre. Nogle af dem vil selvfølgelig have behov
for en eksternt routbar IP adresse, men de kan sagtens have
to IP adresser (som kan ligge på et eller to netkort).
Det er vel først når man kommer udenfor et AS at det for
alvor er meningsløst at route pakker til RFC1918 adresser.
Om man vil filtrere pakker med en RFC1918 afsender adresse
afhænger lidt af hvordan man prioriterer. Det er f.eks.
meget praktisk hvis en fejlmelding stadigvæk kan nå frem
selvom den kommer fra en router som kun har en RFC1918
adresse.
Hvordan din udbyder gør brug af RFC1918 adresser kan jeg
ikke udtale mig om. Men hvis nu du fortalte os lidt mere
om den trafik du har observeret, så ville vi have en chance
for at sige noget om det. Du kan selvfølgelig godt spørge
udbyderen om hvad de bruger den specifikke adresse til,
men hvis ikke du selv kan finde flere detaljer, så er jeg
ikke sikker på at du ville forstå svaret. Der er også en
overhængende risiko for, at udbyderen ikke ville forstå
spørgsmålet. Det er i hvert fald noget jeg tit har oplevet
med TDCs supportere, som åbenlyst ikke ved noget om
hverken IP eller TCP.
> (172.168.0.0) så kan det vel kun være fra mit eget netværk?
Nej, det er AOL. Men du mener måske 172.16 eller 192.168?
>
> Der er ikke nogle maskiner på mit netværk der benytter sig af 172.16.xxx.xxx
Prøv at køre en traceroute til adressen, det kan jo være
du kan finde ud af, om det er en gyldig adresse hos din
udbyder.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Mathias Mejborn (07-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 07-12-05 10:12 |
|
Kasper Dupont wrote:
> Mathias Mejborn wrote:
>
>>Men
>>hvordan kan det være fra min udbyder hvis det er et internt Ip segment?
>
>
> Din udbyder kan jo sagtens vælge at bruge RFC1918 adresser
> til udstyr, der kun skal kunne adresseres indenfor deres
> eget netværk. F.eks. vil endepunkterne i en kommunikation
> under normale omstændigheder ikke se noget til IP adresserne
> på alle routerne undervejs, så der er ingen hindring for at
> nogle af dem kan bruge RFC1918 adresser, og jeg ved da at
> TDC bruger nogle af 10.0.0.0/8 adresserne til routere.
>
> Adresserne kan også bruges til servere, der kun skal kunne
> tilgås af deres egne brugere. Det kunne f.eks. være DHCP
> server, DNS server, proxy server, mail server, nntp server
> og mange andre. Nogle af dem vil selvfølgelig have behov
> for en eksternt routbar IP adresse, men de kan sagtens have
> to IP adresser (som kan ligge på et eller to netkort).
>
> Det er vel først når man kommer udenfor et AS at det for
> alvor er meningsløst at route pakker til RFC1918 adresser.
> Om man vil filtrere pakker med en RFC1918 afsender adresse
> afhænger lidt af hvordan man prioriterer. Det er f.eks.
> meget praktisk hvis en fejlmelding stadigvæk kan nå frem
> selvom den kommer fra en router som kun har en RFC1918
> adresse.
>
> Hvordan din udbyder gør brug af RFC1918 adresser kan jeg
> ikke udtale mig om. Men hvis nu du fortalte os lidt mere
> om den trafik du har observeret, så ville vi have en chance
> for at sige noget om det. Du kan selvfølgelig godt spørge
> udbyderen om hvad de bruger den specifikke adresse til,
> men hvis ikke du selv kan finde flere detaljer, så er jeg
> ikke sikker på at du ville forstå svaret. Der er også en
> overhængende risiko for, at udbyderen ikke ville forstå
> spørgsmålet. Det er i hvert fald noget jeg tit har oplevet
> med TDCs supportere, som åbenlyst ikke ved noget om
> hverken IP eller TCP.
>
>
>>(172.168.0.0) så kan det vel kun være fra mit eget netværk?
>
>
> Nej, det er AOL. Men du mener måske 172.16 eller 192.168?
>
>
>>Der er ikke nogle maskiner på mit netværk der benytter sig af 172.16.xxx.xxx
>
>
> Prøv at køre en traceroute til adressen, det kan jo være
> du kan finde ud af, om det er en gyldig adresse hos din
> udbyder.
>
Jeg mente 172.19.96.1 og jeg har lige kørt en traceroute på adressen og
det første hop gik til 192.168.2.1 som er min routers interne ip
adresse, og det næste hop gik til 172.19.96.1 som jeg så ikke ved hvad er.
--
Mvh Mathias Mejborn
| |
John (05-12-2005)
| Kommentar Fra : John |
Dato : 05-12-05 20:42 |
|
"Mathias Mejborn" skrev i en meddelelse
> Mon Dec 5 19:37:35 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5
> 19:37:35 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5 19:37:42
> 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5 19:37:42 2005 1
> Blocked by DoS protection 172.19.96.1 Mon Dec 5 19:37:44 2005 1 Blocked by
> DoS protection 172.19.96.1
> Nogen der har et bud på hvad der kan være galt?
DoS angreb, der bliver smukt afvist. Mere om Denial of Service-angreb:
"Et DOS-angreb er et overbelastningsangreb. Angriberen kan for eksempel
vælge at overbelaste netværkskapaciteten."
Link: https://www.cert.dk/artikler/artikler/000300A003.shtml
Mere, Google:
http://www.google.com/search?q=dos+angreb
Mvh John
| |
Mathias Mejborn (05-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 05-12-05 21:07 |
|
John wrote:
> "Mathias Mejborn" skrev i en meddelelse
>
>
>>Mon Dec 5 19:37:35 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5
>>19:37:35 2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5 19:37:42
>>2005 1 Blocked by DoS protection 172.19.96.1 Mon Dec 5 19:37:42 2005 1
>>Blocked by DoS protection 172.19.96.1 Mon Dec 5 19:37:44 2005 1 Blocked by
>>DoS protection 172.19.96.1
>
>
>>Nogen der har et bud på hvad der kan være galt?
>
>
> DoS angreb, der bliver smukt afvist. Mere om Denial of Service-angreb:
>
> "Et DOS-angreb er et overbelastningsangreb. Angriberen kan for eksempel
> vælge at overbelaste netværkskapaciteten."
> Link: https://www.cert.dk/artikler/artikler/000300A003.shtml
>
> Mere, Google:
> http://www.google.com/search?q=dos+angreb
>
> Mvh John
>
>
Okay ja var godt klar over at det var et sådan angreb, men var lidt i
tvivl om hvordan jeg skulle reagere på det.
Men der er tilsyndeladende ikke noget at gære udover at lade de små børn
lege videre.
Tak for det
--
Mvh
Mathias Mejborn
| |
Asbjorn Hojmark (05-12-2005)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 05-12-05 21:02 |
|
On Mon, 05 Dec 2005 19:43:30 +0100, Mathias Mejborn
<mathias@mejborn.net> wrote:
> Min router er begyndt at opføre sig mærkeligt at smide mig af i tide og
> utide. Vi kører trådløst med WEP SSID brodcast slået fra, og mac adresse
> filtrering.
Du ved godt, at det giver dig et ret dårligt sikkerhedsniveau, ikke?
WEP-filtrering er trivielt at bryde, og SSID og MAC-adresser kan man
sniffe sig frem til.
Konfigurér WPA. Det kan kun gå for langsomt.
> Mon Dec 5 19:37:35 2005 1 Blocked by DoS protection 172.19.96.1
Du har allerede fået et link til at finde ud af, hvad "DoS" er. Der er
dog noget forskel på, præcist hvad forskelligt udstyr opfatter som
DoS, og hvornår det derfor logger det.
Hvad siger din manual om beskeden?
-A
| |
Mathias Mejborn (05-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 05-12-05 22:10 |
|
Asbjorn Hojmark wrote:
> On Mon, 05 Dec 2005 19:43:30 +0100, Mathias Mejborn
> <mathias@mejborn.net> wrote:
>
>
>>Min router er begyndt at opføre sig mærkeligt at smide mig af i tide og
>>utide. Vi kører trådløst med WEP SSID brodcast slået fra, og mac adresse
>>filtrering.
>
>
> Du ved godt, at det giver dig et ret dårligt sikkerhedsniveau, ikke?
> WEP-filtrering er trivielt at bryde, og SSID og MAC-adresser kan man
> sniffe sig frem til.
>
> Konfigurér WPA. Det kan kun gå for langsomt.
>
>
>>Mon Dec 5 19:37:35 2005 1 Blocked by DoS protection 172.19.96.1
>
>
> Du har allerede fået et link til at finde ud af, hvad "DoS" er. Der er
> dog noget forskel på, præcist hvad forskelligt udstyr opfatter som
> DoS, og hvornår det derfor logger det.
>
> Hvad siger din manual om beskeden?
>
> -A
Hej Asbjorn
Jeg er godt klar over at WPA er mere sikkert, men jeg kan ikke køre med
WPA på min IBM R51 (Ubuntu Breezy) jeg har i hvert fald ikke kunne få
den til det.
Derfor nedgraderede jeg til WEP. Og jeg er godt klar over hvor nemt det
er at klone mac adresser osv.
Men nu er angrebet ikke sket over det trådløse net, så i denne
sammenhæng er det lige meget.
Der står ikke noget i min manual umiddelbart vedr. DoS angreb.
--
Mvh Mathias Mejborn
| |
Asbjorn Hojmark (05-12-2005)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 05-12-05 23:00 |
|
On Mon, 05 Dec 2005 22:09:31 +0100, Mathias Mejborn
<mathias@mejborn.net> wrote:
> Jeg er godt klar over at WPA er mere sikkert, men jeg kan ikke køre med
> WPA på min IBM R51 (Ubuntu Breezy) jeg har i hvert fald ikke kunne få
> den til det.
Har du set på 'wpa_supplicant'?
-A
| |
Mathias Mejborn (05-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 05-12-05 23:05 |
|
Asbjorn Hojmark wrote:
> On Mon, 05 Dec 2005 22:09:31 +0100, Mathias Mejborn
> <mathias@mejborn.net> wrote:
>
>
>>Jeg er godt klar over at WPA er mere sikkert, men jeg kan ikke køre med
>>WPA på min IBM R51 (Ubuntu Breezy) jeg har i hvert fald ikke kunne få
>>den til det.
>
>
> Har du set på 'wpa_supplicant'?
>
> -A
Ja jeg har den installeret, og har også prøvet at sætte det op, men der
opstår fejl. Den sagde vist nok noget med at den ikke understøttede
nøgler over 128 bit.
--
mvh
Mathias Mejborn
| |
Mathias Mejborn (05-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 05-12-05 23:14 |
|
Asbjorn Hojmark wrote:
> On Mon, 05 Dec 2005 22:09:31 +0100, Mathias Mejborn
> <mathias@mejborn.net> wrote:
>
>
>>Jeg er godt klar over at WPA er mere sikkert, men jeg kan ikke køre med
>>WPA på min IBM R51 (Ubuntu Breezy) jeg har i hvert fald ikke kunne få
>>den til det.
>
>
> Har du set på 'wpa_supplicant'?
>
> -A
Ja har godt set på den, men kunne ikke få den til at virke. Den sagde
vist nok noget med at den ikke understøttede nøgler på 129 bit eller
derover.
--
Mvh Mathias Mejborn
| |
Asbjorn Hojmark (05-12-2005)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 05-12-05 23:02 |
|
On Mon, 05 Dec 2005 22:09:31 +0100, Mathias Mejborn
<mathias@mejborn.net> wrote:
> Der står ikke noget i min manual umiddelbart vedr. DoS angreb.
Du kan jo nøjes med at trække på skuldrene, når routeren alligevel
siger, den har afvist det.
Alternativt kan du sætte en hub foran din router og sniffe på, hva'
der foregår. Du vil dog nok ikke kunne lide synet, for alle direkte
forbundne hosts er under 'angreb' hele tiden.
-A
| |
Mathias Mejborn (05-12-2005)
| Kommentar Fra : Mathias Mejborn |
Dato : 05-12-05 23:09 |
|
Asbjorn Hojmark wrote:
> On Mon, 05 Dec 2005 22:09:31 +0100, Mathias Mejborn
> <mathias@mejborn.net> wrote:
>
>
>>Der står ikke noget i min manual umiddelbart vedr. DoS angreb.
>
>
> Du kan jo nøjes med at trække på skuldrene, når routeren alligevel
> siger, den har afvist det.
>
> Alternativt kan du sætte en hub foran din router og sniffe på, hva'
> der foregår. Du vil dog nok ikke kunne lide synet, for alle direkte
> forbundne hosts er under 'angreb' hele tiden.
>
> -A
Ja det er de, sådan er verden jo åbenbart. Tænkte også på at sætte en
Linux server op med Iptabels, og en IDS
--
Mvh Mathias Mejborn
| |
|
|