AliasReVoltMaster

Woozie · Messaggio da **Woozie** » gio 21 giu 2012, 14:51

Salve a tutti ragazzi!
Scrivo qui perchè da tre giorni la rete internet a casa mia è praticamente inutilizzabile a quanto pare per via di svariati attacchi DoS.
Per farvi un'idea vi posto il log del router di martedi:

SpoilerMostra

Sun, 2002-09-08 14:00:20 - Initialize LCP.
> Sun, 2002-09-08 14:00:20 - LCP is allowed to come up.
> Sun, 2002-09-08 14:00:23 - PAP authentication success
> Sun, 2002-09-08 14:00:26 - Send out NTP request to time-g.netgear.com
> Tue, 2012-06-19 11:37:21 - Receive NTP Reply from time-g.netgear.com
> Tue, 2012-06-19 11:36:55 - Router start up
> Tue, 2012-06-19 13:11:38 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:39 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:39 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:39 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:39 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:39 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:40 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:40 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:40 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:40 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:40 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:41 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:41 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:41 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:41 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:42 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:42 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:42 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:42 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:42 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:43 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:43 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 13:11:43 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,54662 - [DOS]
> Tue, 2012-06-19 17:45:38 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,60353 - [DOS]
> Tue, 2012-06-19 17:46:09 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:10 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:10 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:10 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:10 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:10 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:11 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:11 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:11 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:11 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:11 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:12 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:12 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:12 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:12 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:12 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:12 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:13 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:13 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:13 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:13 - UDP Packet - Source:146.82.184.12,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:14 - UDP Packet - Source:217.212.238.143,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 17:46:14 - UDP Packet - Source:96.6.40.7,3478 Destination:79.6.33.147,56212 - [DOS]
> Tue, 2012-06-19 21:32:54 - Administrator login successful - IP:192.168.0.4
> Tue, 2012-06-19 21:38:09 - Administrator login successful - IP:192.168.0.4

Come potete vedere alle ultime due voci mi sono connesso due volte perchè la rete cadeva...
Ho cercato gli indirizzi in questione e ho scoperto che molti, se non tutti, passano per i server dell'Akamai, in america, qualcuno pure ad Amsterdam.
La cosa va avanti da 3 giorni e io non riesco nemmeno a vedermi un video di 2 minuti (si 2 non mi sono sbagliato a scrivere) su youtube, ne ho leggermente piene le pelotas...

Premetto che ho gia passato il pc con Avira, MSE, MbAm, tool di rimozione rootkit di Kaspersky, tool di rimozione rootkit di Avast e ComboFix.
Tutto quello che di malevolo c'era è stato eliminato, sempre se qualcosa vi era davvero.

Se qualcuno ha qualche consiglio costruttivo e utile lo prego di farsi avanti perchè qui non so più dove sbattere la testa, inoltre il router dopo il log che vi ho postato non ha più rilevato niente,
ma la rete continua a cadere ugualmente.

PS: So bene che attacchi di tipo DoS non possono essere fermati definitivamente, quindi cerco un metodo per almeno limitarli al minimo.

My ARM Card · Messaggio da **TheFactor82** » gio 21 giu 2012, 15:17

Il tuo router non ha un firewall configurabile, o cose simili?
Non sono ancora così esperto, ma posso chiedere ad un mio collega, domani che c'è, se magari ha qualche idea...
Intanto modello del router?
Non credo che c'entri nulla il tuo pc o un qualsiasi altro pc della rete, perchè gli attacchi puntano tutti sull'ip pubblico che il provider gli ha assegnato per quella connessione...

Lo Scassatore · Messaggio da **Lo Scassatore** » gio 21 giu 2012, 16:31

mmm... sei sicuro che quel DOS li voglia dire veramente Denial of Service?

Comunque sia, se il problema è dato dal fatto che ti arivano troppi pacchetti dall'esterno, dovrebbe bastare configurare il firewall del router in modo da rifiutare qualsiasi connessione in ingresso (che poi è l'impostazione di default di tutti i router...)

Inoltre la mole di dati che vedo lì non mi sembra sufficiente per generare un disservizio. Secondo me il problema non è quello... verifica la configurazione del router

Messaggio da **Vas0sky** » gio 21 giu 2012, 19:18

cos'è un attacco DOS? e cosa significa Denial of Service?

Lo Scassatore · Messaggio da **Lo Scassatore** » gio 21 giu 2012, 19:39

ciccio ha scritto:cos'è un attacco DOS? e cosa significa Denial of Service?

http://it.wikipedia.org/wiki/Denial_of_service

Woozie · Messaggio da **Woozie** » gio 21 giu 2012, 20:05

Il mio router è un Netgear DG834G v3 ( si lo so che è vecchio).
Comunque permette la config del firewall e ho controllato gia piu volte, le connessioni in entrata sono settate su "Block ALWAYS", quindi non dovrebbero esserci problemi...

Messaggio da **Vas0sky** » gio 21 giu 2012, 20:50

quindi gli attacchi prendono di mira l'ip giusto? e se si cambia ip?

My ARM Card · Messaggio da **TheFactor82** » gio 21 giu 2012, 23:20

L'ip cambia tutte le volte che il router si riconnette, e ad intervalli regolari stabiliti dal provider.

Messaggio da **Vas0sky** » ven 22 giu 2012, 9:02

lo so quando cambia

la mia domanda era: e se si cambia ip del router? l'attacco andrebbe a vuoto no?

My ARM Card · Messaggio da **TheFactor82** » ven 22 giu 2012, 10:48

Si ma non puoi cambiarlo TU.
E comunque, come ha detto Scassa, quei pacchetti mi sembrano pochi per mandare in crisi una connessione. Inoltre la dicitura riportata è DOS e non DoS. E poi, come fa un'apparecchiatura a CAPIRE che sta subendo un attacco DoS? E se lo ha capito, perchè semplicemente non reagisce da sola? (Voglio dire, se sei così intelligente da capire che ti stanno attaccando, FAI QUALCOSA!)

Alla fine secondo me una bella telefonata al provider per chiedergli che cavolo sta succedendo ci sta...

Messaggio da **Vas0sky** » ven 22 giu 2012, 11:04

ma se riavvii il modem non hai già cambiato ip? voglio dire... se tu spegni il modem per circa mezz'ora per essere sicuro che ti hanno cambiato ip (a me cambia ip ogni volta che spengo il modem e dopo 10 secondi lo riaccendo) dopo gli attacchi non arrivano più sul tuo modem... giusto??

Lo Scassatore · Messaggio da **Lo Scassatore** » ven 22 giu 2012, 13:47

ciccio ha scritto:ma se riavvii il modem non hai già cambiato ip? voglio dire... se tu spegni il modem per circa mezz'ora per essere sicuro che ti hanno cambiato ip (a me cambia ip ogni volta che spengo il modem e dopo 10 secondi lo riaccendo) dopo gli attacchi non arrivano più sul tuo modem... giusto??

http://it.m.wikipedia.org/wDynamic_Host ... #section_4

Il lease (affitto) di un indirizzo ip ha una durata impostata da chi distribuisce gli ip (il provider) , alcuni impostano dei tempi nell'ordine di ore, altri di giorni o settimane. Non è che basta spegnere il router.

Comunque io tenderei ad escludere che si tratti di un attacco perchè:

1) la quantità di pacchetti è troppo bassa per dare fastidio (Webservice creati da me generano log più lunghi in un'ora)

2) non credo che gli apparati possano riconoscere un attacco DOS, anche perchè altrimenti reagirebbero.

3) Sono pacchetti UDP, mentre in genere il DoS si fa con pacchetti TCP

Secondo me faresti meglio a sentire il provider e chiedere se stan facendo qualcosina... tieni presente che problemi di navigazione li potresti avere anche banalmente per un temporaneo down del tuo DNS "di fiducia"

Lo Scassatore · Messaggio da **Lo Scassatore** » ven 22 giu 2012, 14:05

http://kb.netgear.com/app/answers/detai ... outer-logs

Leggendo il manuale ufficiale, ho visto che per DOS si intende proprio quello lol

Ovviamente c'e scritto che l'apparecchio non puo determinare ESATTAMENTE se si tratta di un attacco (potrebbe essere un pacchetto sparato a c***o di cane da qualcuno)

Anche il manuale consiglia di disabilitare la risposta al ping.

Woozie · Messaggio da **Woozie** » ven 22 giu 2012, 14:25

Scassa grazie per l'aiuto, non credo di aver mai visto l'opzione per disabilitare la risposta al ping, comunque vedrò poi nella config del router.

PS: ringrazio anche TF^^.

AliasReVoltMaster

DoS

DoS

Re: DoS

Re: DoS

Re: DoS

Re: DoS

Re: DoS

Re: DoS

Re: DoS

Re: DoS

Re: DoS

Re: DoS

Re: DoS

Re: DoS

Re: DoS

Chi c’è in linea

�