Unverständliche Routermeldung
Hallo zusammen Ich sehe mir regelmäßig die Logfiles meines WALN-Router Sinus DSL 111 an Außer Einwahl und Abwahl konnte ich aber bisher nix feststellen. Heute finde ich folgenden Eintrag, mit dem ich nix anfangen kann Alarmmeldung Ihres Routers Time: 04/16/2004, 15:27:44 Message: SYN Flood to Host Source: 192.168.2.3, 35050 Destination:209.225.0.6, 80 (from PPPOE Outbound) Wenn ich das richtig verstehe, hat mein Laptop (192.168.2.3) über Port 35050 eine Anfrage an 209.225.0.6 gerichtet, oder? Warum gibt der Router dann eine Alarmmeldung aus, oder ging das vom Internet auf den Laptop? Was bedeutet den SYN Flood to Host? Gab es so viele Anfragen meines Laptop an den Host und dieser war nicht erreichbar? Wäre nett, wenn mir jemand hierbei helfen könnte Danke Andy
Am Freitag, 16. April 2004 19:48 schrieb Andreas Schott:
Hallo zusammen
Ich sehe mir regelmäßig die Logfiles meines WALN-Router Sinus DSL 111 an
Außer Einwahl und Abwahl konnte ich aber bisher nix feststellen.
Heute finde ich folgenden Eintrag, mit dem ich nix anfangen kann
Alarmmeldung Ihres Routers
Time: 04/16/2004, 15:27:44 Message: SYN Flood to Host Source: 192.168.2.3, 35050 Destination:209.225.0.6, 80 (from PPPOE Outbound)
"servedby.advertising.com has address 209.225.0.6"
Wenn ich das richtig verstehe, hat mein Laptop (192.168.2.3) über Port 35050 eine Anfrage an 209.225.0.6 gerichtet, oder?
genauer gesagt am zielport 80, also http.
Warum gibt der Router dann eine Alarmmeldung aus, oder ging das vom Internet auf den Laptop?
source=quelle destination=ziel also: laptop => ziel
Was bedeutet den SYN Flood to Host? Gab es so viele Anfragen meines Laptop an den Host und dieser war nicht erreichbar?
Scheintso als hätte dein laptop eine dos attacke an 209.225.0.6 gerichtet. (ehrlich gesagt hab ich keine ahnung, ist nur ne vermutung) Mir fällt hier nur ms.blaster (ist ja leider in die hose gegangen ;)) aber servedby.advertising.com hat wohl wenig mit micro$oft zu tun. hmmm.
Wäre nett, wenn mir jemand hierbei helfen könnte
Danke
Andy
________________________ MfG David Zurborg http://nemero.com/
Date: Fri, 16 Apr 2004 21:33:08 +0200 From: David Zurborg
Am Freitag, 16. April 2004 19:48 schrieb Andreas Schott:
Hallo zusammen
Ich sehe mir regelmäßig die Logfiles meines WALN-Router Sinus DSL 111 an
Außer Einwahl und Abwahl konnte ich aber bisher nix feststellen.
Heute finde ich folgenden Eintrag, mit dem ich nix anfangen kann
Alarmmeldung Ihres Routers
Time: 04/16/2004, 15:27:44 Message: SYN Flood to Host Source: 192.168.2.3, 35050 Destination:209.225.0.6, 80 (from PPPOE Outbound)
"servedby.advertising.com has address 209.225.0.6"
Wenn ich das richtig verstehe, hat mein Laptop (192.168.2.3) über Port 35050 eine Anfrage an 209.225.0.6 gerichtet, oder?
genauer gesagt am zielport 80, also http.
Warum gibt der Router dann eine Alarmmeldung aus, oder ging das vom Internet auf den Laptop?
source=quelle destination=ziel also: laptop => ziel
Was bedeutet den SYN Flood to Host? Gab es so viele Anfragen meines
Laptop
an den Host und dieser war nicht erreichbar?
Scheintso als hätte dein laptop eine dos attacke an 209.225.0.6 gerichtet. (ehrlich gesagt hab ich keine ahnung, ist nur ne vermutung) Mir fällt hier nur ms.blaster (ist ja leider in die hose gegangen ;)) aber servedby.advertising.com hat wohl wenig mit micro$oft zu tun. hmmm.
Erscheint mir relativ unwahrscheinlich. Das Laptop nutzt meine Frau zum reinen Internetvergnügen unter SuSE 9.0. Sie hat wohl kaum das Wissen so etwas anzurichten. Und noch mehr: Warum meldet mein Router eine Attacke, wenn die von intern ausgeht? Fragen über Fragen Andy
Am Freitag, 16. April 2004 22:53 schrieb fanclub.ostkurve@t-online.de:
Date: Fri, 16 Apr 2004 21:33:08 +0200 From: David Zurborg
Am Freitag, 16. April 2004 19:48 schrieb Andreas Schott: [...]
Erscheint mir relativ unwahrscheinlich. Das Laptop nutzt meine Frau zum reinen Internetvergnügen unter SuSE 9.0. Sie hat wohl kaum das Wissen so etwas anzurichten.
Und noch mehr: Warum meldet mein Router eine Attacke, wenn die von intern ausgeht?
Fragen über Fragen
Andy
ein wurm oder virus hat auch die kontrolle über das internet, nicht nur deine frau. vll mal antivir (o.ä.) laufen lassen. ________________________ MfG David Zurborg http://nemero.com/
Am Samstag, 17. April 2004 09:51 schrieb David Zurborg:
Am Freitag, 16. April 2004 22:53 schrieb fanclub.ostkurve@t-online.de:
Date: Fri, 16 Apr 2004 21:33:08 +0200 From: David Zurborg
Am Freitag, 16. April 2004 19:48 schrieb Andreas Schott: [...]
Erscheint mir relativ unwahrscheinlich. Das Laptop nutzt meine Frau zum reinen Internetvergnügen unter SuSE 9.0. Sie hat wohl kaum das Wissen so etwas anzurichten.
Und noch mehr: Warum meldet mein Router eine Attacke, wenn die von intern ausgeht?
Fragen über Fragen
Andy
ein wurm oder virus hat auch die kontrolle über das internet, nicht nur deine frau. vll mal antivir (o.ä.) laufen lassen.
Wurm oder Virus unter Linux? Dachte das gibt es bisher nicht, oder bin ich da falsch informiert. Zudem wird bei Web.de jede Mail geprüft und Viren bisher sicher entfernt. Aber auch ein brandneues Antivir hat - so wie vermutet - nix aufspüren können. Meine Frau berichtete aber von einer Website, die sich nicht aufbaute. Hat sie (oder das Laptop) evtl. immer wieder versucht die Seite aufzurufen? Andy
Am Freitag, 16. April 2004 22:53 schrieb fanclub.ostkurve@t-online.de:
Date: Fri, 16 Apr 2004 21:33:08 +0200 From: David Zurborg
Am Freitag, 16. April 2004 19:48 schrieb Andreas Schott:
Time: 04/16/2004, 15:27:44 Message: SYN Flood to Host Source: 192.168.2.3, 35050 Destination:209.225.0.6, 80 (from PPPOE Outbound)
"servedby.advertising.com has address 209.225.0.6"
Wenn ich das richtig verstehe, hat mein Laptop (192.168.2.3) über Port 35050 eine Anfrage an 209.225.0.6 gerichtet, oder?
genauer gesagt am zielport 80, also http.
Was bedeutet den SYN Flood to Host? Gab es so viele Anfragen meines Laptop an den Host und dieser war nicht erreichbar?
Scheint so als hätte dein laptop eine dos attacke an 209.225.0.6 gerichtet.
(ehrlich gesagt hab ich keine ahnung, ist nur ne vermutung)
Ist falsch, es gibt dos-attacken, die man an sync-flood erkennen kann, aber ein sync-flood muß keine Atacke sein, und man kann dos-atacken auch so ausführen, das sie kein sync-flood erzeugen.
Erscheint mir relativ unwahrscheinlich. Das Laptop nutzt meine Frau zum reinen Internetvergnügen unter SuSE 9.0. Sie hat wohl kaum das Wissen so etwas anzurichten.
Und noch mehr: Warum meldet mein Router eine Attacke, wenn die von intern ausgeht?
Fragen über Fragen
und hier Antworten: Deine Vermutung war wahrscheinlich richtig, und der Host nicht erreichbar. Im Detail: Beim Verbindungsaufbau zwischen Client und Server, verschickt der Client ein Packet mit gesetzten sync-flag, darauf antwortet der Server mit einem sync-respons, und der Client darauf mit einem sync-ack., erst dann steht die Verbindung. servedby.advertising.com hört sich so nach Werbung an, entweder eingebettet in der Website oder popup. Bekommt der Client nun kein sync-response, schickt er immer wieder Pakete mit geseztem sync-flag. Da hat deine Frau allerdings nichts zu tun, ich glaube nicht, daß sie die Seite so schnell hintereinander aufrufen kann. Jetzt zum Router: Er meldet keine Attacke, er stellt nur fest, das innerhalb einer bestimmten Zeitspanne viele Pakete mit gesetztem sync-flag an *eine* IP-Adresse gehen, da hier etwas nicht stimmt, vermerkt er das im Log. Die Bezeichnung sync-flood beschreibt hier das was er festgestellt hat. Er nimmt keinen Bewertung in Form von innerhalb des localen Netzes oder außerhalb vor. hth cu Gerald
Am Samstag, 17. April 2004 22:12 schrieb Gerald Goebel:
Am Freitag, 16. April 2004 22:53 schrieb fanclub.ostkurve@t-online.de:
Date: Fri, 16 Apr 2004 21:33:08 +0200 From: David Zurborg
Am Freitag, 16. April 2004 19:48 schrieb Andreas Schott:
Time: 04/16/2004, 15:27:44 Message: SYN Flood to Host Source: 192.168.2.3, 35050 Destination:209.225.0.6, 80 (from PPPOE Outbound)
"servedby.advertising.com has address 209.225.0.6"
Wenn ich das richtig verstehe, hat mein Laptop (192.168.2.3) über Port 35050 eine Anfrage an 209.225.0.6 gerichtet, oder?
genauer gesagt am zielport 80, also http.
Was bedeutet den SYN Flood to Host? Gab es so viele Anfragen meines Laptop an den Host und dieser war nicht erreichbar?
Scheint so als hätte dein laptop eine dos attacke an 209.225.0.6 gerichtet.
(ehrlich gesagt hab ich keine ahnung, ist nur ne vermutung)
Ist falsch, es gibt dos-attacken, die man an sync-flood erkennen kann, aber ein sync-flood muß keine Atacke sein, und man kann dos-atacken auch so ausführen, das sie kein sync-flood erzeugen.
Erscheint mir relativ unwahrscheinlich. Das Laptop nutzt meine Frau zum reinen Internetvergnügen unter SuSE 9.0. Sie hat wohl kaum das Wissen so etwas anzurichten.
Und noch mehr: Warum meldet mein Router eine Attacke, wenn die von intern ausgeht?
Fragen über Fragen
und hier Antworten: Deine Vermutung war wahrscheinlich richtig, und der Host nicht erreichbar. Im Detail:
Beim Verbindungsaufbau zwischen Client und Server, verschickt der Client ein Packet mit gesetzten sync-flag, darauf antwortet der Server mit einem sync-respons, und der Client darauf mit einem sync-ack., erst dann steht die Verbindung. servedby.advertising.com hört sich so nach Werbung an, entweder eingebettet in der Website oder popup. Bekommt der Client nun kein sync-response, schickt er immer wieder Pakete mit geseztem sync-flag. Da hat deine Frau allerdings nichts zu tun, ich glaube nicht, daß sie die Seite so schnell hintereinander aufrufen kann.
Jetzt zum Router: Er meldet keine Attacke, er stellt nur fest, das innerhalb einer bestimmten Zeitspanne viele Pakete mit gesetztem sync-flag an *eine* IP-Adresse gehen, da hier etwas nicht stimmt, vermerkt er das im Log. Die Bezeichnung sync-flood beschreibt hier das was er festgestellt hat. Er nimmt keinen Bewertung in Form von innerhalb des localen Netzes oder außerhalb vor.
Hallo Gerald Vielen Dank für die Info Wie eine IP-Verbindung aufgebaut wird, hab ich mir schon angelesen - dass ich das selbst richtig verstanden hatte, freut mich natürlich... ;-) Andy
participants (3)
-
David Zurborg
-
fanclub.ostkurve@t-online.de
-
Gerald Goebel