Tcp Syn Res Set

[Omega-sn]

hi, ich bin zwar ein absoluter neuling und auch bis jetzt "null poster" hier im board gewesen, sondern habe eher eure beiträge gelesen und teilweise auch regelrecht verschlungen, dafür erst einmal ein grosses lob vor ab an alle hier....

nun zu meinem prob welches ich einmal an euch weiter reichen möchte, vieleicht kann mir ja einer von euch weiter helfen....

seit etwa 2 oder 3 tagen bekomme ich täglich von meinem router mails mit folgendem inhalt :

Betreff:*Security Alert* [CC:2F:84]
Inhalt:2004-09-07 09:07:51 - TCP SYN RES SET - Source:213.140.6.123
,24048,WAN - Destination:217.225.182.130,8876,LAN

das einzige was sich in den mails ab und an mal ändert ist meine eigene ip, datum und uhrzeit*gg*

ich hoffe das einer von euch einen tipp oder rat für mich hat was das a) sein könnte, und was ich b) dagegen unter nehmen kann/könnte.

vielen dank schon im vorraus

 

[4future]

vieleicht eine SYN Flag Attacke ?

remote Host ist: 213-140-6-123.fastres.net <-- Kann damit irgendjemand etwas anfangen ?

 

[boernd]

die whois-anfrag bei internic ergab:

Whois Server Version 1.3

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: FASTRES.NET
Registrar: NETWORK SOLUTIONS, LLC.
Whois Server: whois.networksolutions.com
Referral URL: http://www.networksolutions.com
Name Server: DNS2.FASTWEB.IT
Name Server: DNS1.FASTWEB.IT
Status: ACTIVE
Updated Date: 02-apr-2004
Creation Date: 15-apr-2002
Expiration Date: 15-apr-2005

und networksolutions istn hoster, und dort gehts weiter zu fastweb.it - das istn italienischer provider.
und dann noch die ip dazu und es ist klar was das ist ...

 

[Omega-sn]

auch auf die gefahr hin das mein post jetzt ins planschbecken kommt...

Original von boernd
...und dann noch die ip dazu und es ist klar was das ist ...

mir leider nicht, ich habe auch nicht viel mit den ganzen protokollen im sinn ?(
und weiss daher leider echt nicht was es sein soll und was ich dagegen tun könnte, oder kann....

vieleicht ist es ja noch hilfreich für euch zu wissen das ich win xp prof nutze...
k.a ich würde mich riesieg freuen wenn jemand einen tip für mich hätte, da ich in diesem bereich leider keine erfahrungen habe

 

[boernd]

ich hatte damit eigentlich gemeint, dass irgendein pc mit dieser ip über diesen provider online war und versucht hat dir irgendwelche datenpackete zukommen lassen will.

evtl auch - wie 4future erwähnte - eine syn flag attacke. was das (mehroderweniger) genau ist sagt uns cisco systems so:

TCP SYN attack: A sender transmits a volume of connections that cannot be completed. This causes the connection queues to fill up, thereby denying service to legitimate TCP users

und ich denke solange deine fw diese attacke (falls es denn überhaupt eine ist) abhält, ist alles im grünen bereich und wird hoffentlcih auch so bleiben

 

[4future]

ein bisschen verständlicher, (cisco ist nämlich nicht unbedingt verständlich)

beim verbindungsaufbau über tcp gibt es einen sogenannten 3 way handshake, im grunde läuft der so ab:

Der eine Computer schickt ein Paket, indessen TCP Header das SYN Flag (ein Bit) gesetzt ist, dieses Flag signalisiert dem Computer an den das Paket gerichtet ist, das der erste Computer eine Verbindung aufbauen möchte.

Der zweite Computer schickt ein Paket zurück, bei dem das SYN und das ACK Flag gesetzt sind, das bedeutet soviel wie "OK ich bin bereit".

Dann kommt ein Paket vom ersten zum zweiten, nur mit dem ACK - Flag (was soviel heißt wie OK ich sende jetzt die Daten....) und danach kommen die daten.

Dieser Handshake kann allerdings auch für Attaken ausgenutzt werden (die SYN FLAG Attacke), dabei sendet der Angreifende PC nur das Erste Paket des Handshakes, dafür aber schnell hintereinander, das führt dazu, das der Angegiffene PC die Pakete mit dem SYN, ACK zurücksendet (die einfach vom Angreifer verworfen werden) .

Der angegriffene PC wartet nun auf immer mehr Pakete mit ACK-Flags (die einfach nicht kommen) und so laufen dem PC die Resourcen zu und SENSE...!

wobei jede heutige Desktop oder HW Firewall blockt solche Angriffe mittlerweile..
solche attacken sind nichts besonderes... schalt doch einfach die email benachrichtung aus, oder las die email's nach george.bush@whitehouse.org schicken...

 

[Omega-sn]

also wenn ich das jetzt richtig verstanden habe, versucht da einer, warum auch immer meinen rechner, bzw meine leitung solange zu "zu müllen" bis nichts mehr geht?
wenn das der fall ist hab ich da von der sache her nicht viel dagegen, mich wundert es nur das die "angriffe" nun mittlerweile schon seit fast einer woche immer wieder von ein und der selben ip aus gehen, wäre es denn rein theoretisch denkbar, oder gar möglich das sich auf meinem system ein dailer oder so etwas in der art eingeschlichen hat welcher sich sobald ich ins netz gehe bei seinem "herren" meldet und ihm meine auktuelle ip übermittelt?
laut norton sind uf dem rechner keine vieren, spybot - search & destroy meldet auch nichts...gibt es evtl ein programm womit man sehen kann welche anwendung was ins netz schickt, bzw auch welche was empfängt? oder würde es einen weg geben den "angreifer" rechtlich zu belangen oder sowas in der art?


Nachtrag : keine ahnung warum aber ich bekomme keine mails mehr von meinem router, scheinbar hat der jenige von dem es kam die lust verlohren *gg*