SYN FLOOD - kako se otarasiti ovog??

1

SYN FLOOD - kako se otarasiti ovog??

offline
  • Pridružio: 25 Nov 2006
  • Poruke: 6

Danas sam instalirao par programa i kompjuter je odjednom krenuo u pozadini bez mog znanja da skida podatke s neta (gore lampice, a ne nista se ne prikazuje da skida). Elem, ja obrisem sve te programe koje sam instalirao, instaliram Net Peeker, i on mi konstantno pokazuje da mi je kompjuter napadnut i kaze da je u pitanju SYN FLOOD i da mi se sa raznih adresa napada port 6881. Napadac svake sekunde menja IP broj i vise ne znam sta da radim? Nisam na netu nista nasao o tome kako dizinfektovati racunar, a AVP i spybot ga cak ni ne pronalaze kao virus ili malicizni program! UPOMOC!!!



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 19 Maj 2005
  • Poruke: 609
  • Gde živiš: Springfild

Pošto si napadnut sa neta moja preporuka ti je da pod hitno instaliraš dobar firewall ili ako ga već poseduješ da ga dodatno zategneš.
SYN FLOOD je vrsta napada na mašinu od strane jednog (sa jačom vezom) ili više drugih mašina, što će reći hakovan si.

Kad haker vrši ovaj napad, on prvo pošalje onaj prvi, SYN paket, napadnuta mašina mu odgovori sa SYN-ACK, ali haker potom nikad ne odgovori onim trecim ACK signalom. A napadnuta mašina drži otvorenu konekciju i ceka, ceka, ceka...

Haker onda ponovo pošalje SYN signal, napadnuta mašina otvori novu konekciju (ona prva je i dalje zauzeta) i odgovori sa SYN-ACK, na šta haker ponovo ne odgovara. Haker tako uspostavlja veci broj otvorenih konekcija, sve dok ne dode do maksimalnog broja koji mašina može da obradi. Nakon toga mašina više ne može da primi ni jednu jedinu vezu, ni od hakera, ni od regularnih korisnika.

SYN Flood napad, u zavisnosti od operativnog sistema i njegove konfiguracije, može da izazove potpuno zagušenje komunikacija ili cak totalno obaranje sistema.


Skini se sa mreže na neko vreme, pa ponovo proveri.

Dopuna: 25 Nov 2006 19:33

Takođe pročitaj ovo: http://www.mycity.rs/Internet-servisi/dos-amp-ddos-explained.html
i ovo
**Takodje se preko registry-a moze izvesti jedan odlican tweak. Postoji nacin da
"ocvrsnete" vas sistem za potencijalne DoS napade. Dos iliti Denial of Service
napad je napad ciji je cilj onesposobljavanje racunara ili da pojedini delovi
servisa postanu beskorisni za network korisnike. Sledece sto cu vam prikazati
moze se iskoristiti da bi se poboljsala sposobnost windowsa da se odbrani od
ovih napada kada je izvrsena konekcija sa netom.
Prvo je neophodno pronaci sledece:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
i kreirati odgovarajuci dword value. Evo i spiska imena potrebnih vrednosti i
kljuceva:

EnableDeadGWDetect = "0" (default = 1)
Disables dead-gateway detection as an attack could force the server to switch
gateways.
 
EnableICMPRedirect = "0" (default = 1)
Stops Windows from altering its route table in response to ICMP redirect messages.
Some documentation has this listed as "EnableICMPRedirects" but according to
Microsoft it should be "EnableICMPRedirect" no "s".
 
EnablePMTUDiscovery = "0" (default = 1)
Disables maximum transmission unit (MTU) discovery as an attacker could force
the MTU value to a very small value and overwork the stack.

KeepAliveTime = "300,000" (default = 7,200,000)
Reduces how often TCP attempts to verify that an idle connection is still intact
by sending a keep-alive packet.
 
NoNameReleaseOnDemand = "1" (default = 0)
Protects the computer against malicious NetBIOS name-release attacks.
 
PerformRouterDiscovery = "0" (default = 1)
Disables ICMP Router Discovery Protocol (IRDP) where an an attacker may remotely
add default route entries on a remote system.
 
SynAttackProtect = "2" (default = 0)
Automatically adds additional delays to connection indications, and TCP connection
requests quickly timeout when a SYN attack is in progress.

NAPOMENA: Zbog nelogicnosti do koje bi doslo usled prevodjenja ovih kljuceva i
njihove uloge, nisam nista prevodio tj. ostavio sam sve "po default"-u.

**Sto se tice zastite od SYN Flood napada, windows sadrzi zastitu koja detektuje
i regulise ovakve vrste napada ( SYN Flood napad je vrsta DoS napada ).
Potrebno je pronaci sledece:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
i kreirati novi dword pod nazivom SynAttackProtect i zadati mu vrednost 0, 1 ili 2.
Ovaj value omogucava  Transmission Control Protocol (TCP) da regulise ponovnu
transmisju SYN-ACKS-a. Kada se iskonfigurise ovaj value, ostvaruje se prekid
konekcije mnogo brze u slucaju SYN napada.

0 (default) - tipicna zastita od SYN napada
1 - bolja zastita u slucaju SYN napada, koja koristi dole navedene advanced value.
2 (recommended) - najbolja zastita od SYN napada. Ovaj value omogucava dodatna
odlaganja kod konekcije , i TCP konekcija zahteva brz prekid kada je SYN napad u toku.

Alternativne advanced values:
Za dodatnu kontrolu moguce je kreirati ove dodatne dword values:

TcpMaxHalfOpen - default vrednost je "100"
TcpMaxHalfOpenRetried - default vrednost je "80"
TcpMaxPortsExhausted - default vrednost je "5"
TcpMaxConnectResponseRetransmissions - default vrednost je "3".

by m4rko



offline
  • Pridružio: 25 Nov 2006
  • Poruke: 6

Hvala na pomoci, ubacio sam gorepomenute vrednosti u registry, pa cemo videti sta ce se dalje desavati. Znaci nista ja vise ne mogu da ucinim sa svoje strane (da dezinfikujem neki fajl ili nesto slicno)? Imam instaliran Kaspersky Internet Security 6.

Dopuna: 25 Nov 2006 20:11

Divota, sad pogledam listu protoka i imam sta da vidim. Dok mi je kompjuter bio UGASEN, registrovan mi je download! Da li je moguce da provajder provajder to bombardovanje mog IP broja registruje kao download!?

offline
  • Pridružio: 19 Maj 2005
  • Poruke: 609
  • Gde živiš: Springfild

Ok. Moraćeš da daš malo više informacija.

Koji su bili to programi koje si instalirao pre pojave ovih problema?
Da li možeš da uploaduješ log listu iz KIS-a da vidimo kako je reagovao AntiHacker.

Pokušaj da skineš Ewido antispyware sa www.ewido.net i njime proskeniraš komp, a i pokušaj skeniranje KIS-om u safe modu.

Takođe skini Hijack this.O Hijack-u imas sve sto te zanima u topicu "Uputstva sa (ex) Super Sajta". Takođe uploaduj Hijack this-ov log ovde.

Da probamo da rešimo problem.

offline
  • Pridružio: 11 Sep 2005
  • Poruke: 1282
  • Gde živiš: Pa gde i do sada

ako si i napadnut(mislim racunar) samo napisi da li si sam podesavao FW iz kis-a ili ti je bio na default-u pogotovo podesavanja "Proactive Defense" bas zbog takvih programa koji sadrze razne skrivene i maliciozne zivotinjice koje znaju da naprave haos,a pogotovo pogledaj portove koji su ti otvoreni i blokirani, Rules for applications pa klikni na sumnjivi>Edit pa onda delete
https://www.mycity.rs/must-login.png

offline
  • Pridružio: 25 Nov 2006
  • Poruke: 6

Prvo da vam se zahvalim sto aktivno ucestvujete u resavanju mog problema. Skenirao sam sa KIS-om u safe modu i nista ne prijavljuje. Sto se tice Hijack this! evo ga link za log fajl mycity.rs/must-login.png

Ewido AVG Antyspyware sam skinuo i instalirao. Nasao je preko 100 tracking cookies-a i nista vise osim toga. U svakom slucaju sve sam ih obrisao (Spybot i Ad-aware iako redovno azurirani, njih nisu nasli). I MOZDA CE OVO BITI INTERESANTNO, NASAO JE "VirTool.Win32.AvSpoofer.a". Zar nema taj spoofer neke veze sa syn flood-om? (kao da sam tako nesto procitao negde na nekom forumu, cini mi se...). Kad mi se zavrsi sken (posto jos uvek traje), obrisacu sve sto je nasao AVG, resetovati komp pa onda javljam sta je bilo.

Firewall mi je podesen u KIS-u po defaultu. Vec sam gledao sve te portove, i stvarno mi nijedan ne izgleda sumnjivo.
Na kompjuteru imam i dial-up internet, pa sam probao da se okacim preko dial-upa da vidim da li ce i preko njega da me napadaju, ali nije bilo nikakvih napada. Izgleda da se neko navadio na moj IP broj na kablovskom internetu pa ne prestaje! Sad
Javljam sta se dogadja kad AVG zavrsi sken!

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Napravi poseban folder za HJT i premesti HJT tamo. Folder nek ima ime koje ne podseca na HijackThis ili HJT.
Preimenuj HijackThis.exe u nesto drugo (recimo HT3.exe) i napravi novi log.

offline
  • Pridružio: 25 Nov 2006
  • Poruke: 6

Ne vredi, nakon sto sam obrisao sve sto mi je prijavio AVG i resetovao komp, opet mi NetPeeker prijavljuje napade. Kad ga ugasim, dodje do totalnog zagusenja racunara. Lampice za download/upload su sve upaljene, a protok i dalje tece. Evo novog loga za hijack this, kako je i trazio bobby:
mycity.rs/must-login.png

Odoh da spavam, s nadom da ce ujutru biti bolje.

offline
  • Pridružio: 11 Sep 2005
  • Poruke: 1282
  • Gde živiš: Pa gde i do sada

probaj onda da Anti-Hacker prebacis iz defaulta u "Training Mode" pa ce ti kod svakog izlaska na net da ispise adresu i port, pa probaj da ako ti se pojavi opet ovaj da mu udaris block

offline
  • Pridružio: 25 Nov 2006
  • Poruke: 6

samo da vas obavestim da su SYN flood napadi jenjavali u toku jucerasnjeg dana, da bi danas u potpunosti prestali. Izgleda da sam dosadio napadacu Smile

Ko je trenutno na forumu
 

Ukupno su 819 korisnika na forumu :: 33 registrovanih, 6 sakrivenih i 780 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: _Sale, A.R.Chafee.Jr., aleksmajstor, Apok, awathorn, bato, black_arrow, BlekMen, darkangel, Dimitrise93, Drug pukovnik, goxin, HrcAk47, ibssa, Jovan Nenad, kayvan6079, Lieutenant, liman, ljiljak, madza, Mercury, Oluj2.1, perko91, Skywhaler, Smiljke, suton, VJ, Vlad000, VladaKG1980, vladas87, vlvl, Voivoda, xJeremijAx