Dos Angriffe auf mein Netzwerk

G

Gauner2k89

0
Moin Leute ,

Und zwar habe ich ein großes problem , ich werde seid mehreren Wochen ununterbrochen angegriffen . Meine ist frage ist wie oder womit kann ich mich schützen ? Ich habe schon mehrere male mit dem Support von Vodafone telefoniert aber selbst die Techniker dort sind überfragt und können mir nicht helfen . :D Ich habe dazu mal im Anhang eine kleine ausführung von den Angriffen die ich bis jetzt abgespeichert habe .


10/29/2013 15:55:23 **UDP Loop** 80.82.64.238, 40315->> 94.220.172.250, 19 (from PPPoE1 Inbound
10/29/2013 05:09:33 **UDP Loop** 199.168.142.166, 47615->> 94.220.172.250, 19 (from PPPoE1 Inbound)
10/29/2013 02:06:02 **UDP Loop** 199.168.142.166, 37255->> 94.220.172.250, 19 (from PPPoE1 Inbound)

10/28/2013 23:56:31 **UDP Flood to Host** 192.168.2.100, 39398->> 78.49.30.105, 18557 (from PPPoE1 Outbound)
10/28/2013 23:29:32 **UDP Flood to Host** 192.168.2.100, 39398->> 78.49.30.105, 18704 (from PPPoE1 Outbound)

11/02/2013 15:33:23 **UDP flood** 192.168.2.102, 60288->> 217.197.245.63, 27015 (from PPPoE1 Outbound)
11/02/2013 15:33:23 **UDP flood** 192.168.2.102, 60288->> 128.73.191.125, 27015 (from PPPoE1 Outbound)
11/02/2013 15:33:23 **UDP flood** 192.168.2.102, 60288->> 2.93.3.148, 27015 (from PPPoE1 Outbound)


11/04/2013 19:11:34 **UDP Flood to Host** 192.168.2.100, 39398->> 82.113.98.128, 53254 (from PPPoE1 Outbound)

Es sind noch mehrere wie zb. Smurf attacken und Ping of death

Das geht endlos weiter aber ich möchte euch damit nicht bombadieren ich denke das reicht erstmal um zusehen in welcher situation ich mich befinde.
Das ganze ist mir aufgefallen da mein Ping von einer zu anderen Sekunden
schlagartig explodiert . Von 50 Ms bis 8000 danach ist eigentlich schluss und die internet verbindung ist weg . Ich spiele sehr gerne Spiele darunter Gta5 auf der Playstation sowie andere Moba Spiele auf meinen Pc . Router habe ich auf Werkseinstellung zurück gestellt sowie alle Passwörter und Einloggdaten geändert.

Danke schonmal im voraus ich werde über jeden post dankbar sein :)
 
Zuletzt bearbeitet:
217.197.246.22
Zum Vergrößern anklicken....
Ist ein russicher Honeypot wenn man Google glauben darf.

82.113.98.128
Zum Vergrößern anklicken....
Das ein dt Honeypot

Wenn ich das Logfile richtig Lese dann gehen die Daten VON->NACH

d.h.
0/28/2013 23:56:31 **UDP Flood to Host** 192.168.2.100, 39398->> 78.49.30.105, 18557 (from PPPoE1 Outbound)
10/28/2013 23:29:32 **UDP Flood to Host** 192.168.2.100, 39398->> 78.49.30.105, 18704 (from PPPoE1 Outbound)

11/02/2013 15:33:23 **UDP flood** 192.168.2.102, 60288->> 217.197.245.63, 27015 (from PPPoE1 Outbound)
11/02/2013 15:33:23 **UDP flood** 192.168.2.102, 60288->> 128.73.191.125, 27015 (from PPPoE1 Outbound)
11/02/2013 15:33:23 **UDP flood** 192.168.2.102, 60288->> 2.93.3.148, 27015 (from PPPoE1 Outbound)
Zum Vergrößern anklicken....

kommt von INNEN, d.h. von deinen PC.

Ich würde mal das System von einen sauberen Rechner/LiveCD aus Scannen und dann weiter sehen.

Scheint mir eher als hättest du dir was eingefangen und dann dein Systemnutzt um DOS Angriffe zu fahren.
 
Danke für die schnelle antwort. Ich hatte vergessen zusagen ich hab Virenscanner auf allen Pc´s durchlaufen lassen . Einmal während des Betriebsystems und im Bios mit dem Virenscanner von Botfrei.de der wurde mir empfohlen leider ohne erfolg . Danach mit Anti Malwarebytes da wurden auf den anderen beiden Pc´s was gefunden . Meiner blieb zuglück befreit von Viren :D Jetzt lasse ich eigentlich täglich die Virenprogramme durchlaufen aber ohne Fund bis jetzt . Die 2 Floods einmal 100 & 102 kamen mir auf verdächtig vor . Das ganze passierte aber bis jetzt nur 1 mal :) ....Ich hab alle Ips mal gescheckt hauptsächlich kommen die aus der Usa . Dann gab es welche aus der Schweiz und Niederlande X( zu manchen Ip Adressen gibt es keinen fund .
 
Wenn die Scanner JETZT, sprich in den letzten Tagen was gefunden haben. Sollte klar sein das die wohl die "Attacken" verursacht haben. Das ein Scanner nichts findet, heist nicht automatisch das auch nichts drauf ist. Deswegen bitte von einen LiveCD Scannen. Was heist ohne Erfolg? Hast du es nicht zum laufen gebracht oder gab es keine positiven Befunden? Welches PC laufen denne auf der 100 & 102? Die gescannten oder deiner?
 
100 ist der von meinem Bruder und 102 ist meiner . Ich habe über einer RettungsCd gescannt von Avira . Und über OnlineScanner ^^ so wie du sagtest ohne positiven fund :) danach nochmal mit dem Eu-Cleaner von Surfright....Welche LiveCD würdest du mir denn empfehlen ?
 
Ich kann mich Chakky nur anschließen, eine Live-CD wäre schon mal nicht schlecht. Dann schau dir mal Hijackthis an, damit kannst du wenn ich mich richtig erinnere den Autostart scannen (auch das was du nicht so schnell findest) und den Log pastest du in die automatische Logauswertung. Da kannst du eventuell auch noch die ein oder andere Sache finden. Dann kann ich noch Combofix empfehlen.

Um der Sache ansonsten auf die Spur zu kommen, solltest du mal mit Wireshark beobachten was da genau rauskommt.

Virenscanner finden nur dass was andere Menschen zuvor schon gefunden haben und für die es eine Signatur gibt. Heisst, wenn ich dir ein Schadprogramm einpflanze das ich selbst geschrieben habe, wird dein Virenscanner mit hoher Wahrscheinlichkeit nichts erkennen.

Es gibt zwar Scanner mit Verhaltenserkennung, allerdings sind diese noch nicht besonders reif und wenn dann gäbe es immer wieder Mittel und Wege diese zu umgehen.


Das habe ich nach kurzer recherche gefunden:
"Port Number: 19
TCP / UDP: UDP
Delivery: No
Protocol / Name: chargen
Port Description: Character Generator. Used to trouble-shoot TCP/IP stacks. Generates random characters at a high rate. DOS Threat: Attackers will loop it to the echo port, creating a very effective host and subnet DOS. Disable this port on all hosts, enable only for brief trouble-shooting tests."

In dem Log wird Port 19 verwendet.
 
Zuletzt bearbeitet:
Okay du hast recht das ist mir noch nicht aufgefallen bzw. habe ich darauf nicht geachtet ^^ So das sind anscheinend die Ports die von denen genutzt werden .

19
53254
18557
18704
27015

Alle außer port 19 wurden nur einmal genutzt . Port 19 kommt bei jedem anderen Udp loop vor = )
 
Zuletzt bearbeitet:
Das hängt damit zusammen, dass du bei jeder Session einen zufälligen Port als Source-Port verwendest.

Hast du schonmal daran gedacht, dass dein Bruder das mit Absicht macht?

Ich würd zumindest zu einer Neuinstallation empfehlen. Wer weiß was sich noch auf deinem System versteckt.
 
Morgen,

Das kann ich mir nicht vorstellen der ist zudoof dafür.:P
Der kommt auch immer fluchend aus seinem Zimmer :D
Er spielt Wow und redet ab und zu über Skype kann das ein Zusammenhang haben ?
 
Baut Skype nicht eine Supernode auf wenn der Rechner ausreichend Leistung und Bandbreite hat? Evtl würde das die UDP Sachen klären.

Wahrscheinlicher ist aber ein Befahll deines Netzwerkes
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben