1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

DoS.Generic.SYNFlood! Attacker's IP address ?!??

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por choirboy_85, 21 de Dezembro de 2007. (Respostas: 8; Visualizações: 3840)

  1. choirboy_85

    choirboy_85 Power Member

    Boas pessoal. Não sei se era suposto postar isto aqui.. mas aqui vai..
    Estava aqui na minha e derrepente o Kaspersky (7) mostra a seguintes notificação:

    DoS.Generic.SYNFlood! Attacker's IP address: ...

    Tipo.. bloqueou isto ja quase 100 X :s aparecem varios IP's.. mas estes msm IP's só muda os 3 ultimos numeros..

    Alguem sabe o que se trata esta cena?
    Agora estou preocupado pq nca tive esta cena antes :s

    Obrigado desde já :s
     
  2. ShadeX

    ShadeX Power Member

    Tecnicamente estás a ser vitima de um DoS. Agora resta saber se era para ti mesmo e/ou se é mesmo um DoS e não o KIS a aparvalhar.

    Eu sinceramente desgosto dessas funções na firewall pq regra geral é mais pânico imbecil que outra coisa qualquer. Se ao fim de um ou outro minuto a situação se mantem então tens um DoS e um problema. Se foi um burst de uns segundos então tens um script kiddie a brincar aos cowboys.

    Infelizmente em consumer fw's raramente tens uma análise de padrões que te permita distinguir entre uma e a outra e regra geral acabasse é por assustar o utilizador com tretas que em 90% dos casos são irrelevantes...

    Btw, bloquear 100x é basicamente normal. É a parte do Flood. :) O que é algo estranho é serem 3 IP's diferentes da mesma rede... por curiosidade, qual era o port destino do ataque?
     
  3. choirboy_85

    choirboy_85 Power Member

    epa eu desliguei o modem a noite toda.. agora ligue tá tudo normal ate agr.. llol
    a porta era 46919, q só p acaso é a porta do Azureus lolol
    n sei .. foi estranho.. o modem n deixa de ter actividade.. msm c o pc desligado.. mas parece ja ter acabado a festa.. LOL
     
  4. PiKa_

    PiKa_ Power Member

    ta respondido..
     
  5. xupetas

    xupetas Banido

    provavelmente eram pacotes fragmentados que te vinham para o azureus.
    se o teu router suportar coloca timeout's de 30mn nas ligações de udp.
     
  6. bluei16_

    bluei16_ Banido

    Também estou a ter mas com outro programa p2p para a porta 29528 e a mim são vários ip's mesmo. Para além disso já tá aqui há uns belos minutos a chatear e já liguei/desliguei o router mas até com o router desligado me aparecem as mensagens (wtf...). O programa p2p ta fechado...
     
  7. miraportuga

    miraportuga Power Member

    Também já me calhou uma coisa do género mas estavam a "atacar" uma porta que não tem sequer serviço algum, eram cerca de 50 tentativas de ligação por minuto mais coisa menos coisa que fez com que o meu router(Draytek 2910) disparasse a protecção de DDoS. No entanto não deixa de ser chato porque consome sempre largura de banda...

    Cumps
     
  8. bluei16_

    bluei16_ Banido

    O meu eram muitos mesmo por segundo... fiz reboot e reiniciei o router e tudo em agora... mas tipo... espero q isto nao seja recorrente quando abrir p2p. Porque o kaspersky e novo aqui e nunca me tinha acontecido tal
     
  9. Epa, a mim acontece-me exactamente a mesma coisa.

    Eu não sou mesmo nada entendido em redes, mas vim a perceber uma explicação bastante válida.
    Acontecia-me o mesmo, pela porta que tenho reservada também para o bittorrent, mas curiosamente vim a perceber que só me acontecia onde tenho net com maior largura de banda. Ao que vim a aperceber que apenas quando estou a fazer seeding de algo com velocidades grandes (para cima dos 300kb/s) ou download relativamente rápido (para cima dos 1.2/1.4 mb/s) é que esses ataques aconteciam.

    Quer me parecer que isso é uma confusão do KIS (no meu caso) devido ao intervalo de confiança no tempo para o envio de pacotes da comunicação tcp, ou seja, a velocidade é tanta que a velocidade de envio de pedidos de sincronização(SYN) é tão grande que se assemelha a um SYNFLOOD. Também quando acabo o download ou a velocidade baixa, noto que o "ataque" para. Além do mais, tive cuidado de cruzar a lista de IP's do ataque com a lista de IP's dos peers/seeds activos e todos bateram lá, no(s) torrents que na altura estavam em pico de velocidade.

    Deu trabalho e "cromisse" a valer, epa, mas agora os avisos do KIS já nao me fazem saltar o coração. XD

    Vê se acontecem esses ataques numa situaçao semelhante à minha e o mais provavel é ser o mesmo caso e não teres de te preocupar.

    Espero ter ajudado
     

Partilhar esta Página