Trojaner-Board - SYN Flood to Host

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - SYN Flood to Host (https://www.trojaner-board.de/88304-syn-flood-to-host.html)

SYN Flood to Host

Hallo gesammelter Fachverstand!

Ich habe schon gegoggelt, aber irgendwie haben mir die Ergebnisse nicht gereicht.

Seit einiger Zeit kommt es laut Router-Log von meiner internen IP zu diesen SYN Flood to Host, bevorzugt zur IP 212.1.41.12 (gehört zu hamburg.de) habe ich den Eindruck. Dann läuft natürlich für die Seite nix mehr.

System:
- Win XP SP3, automatische Microsoftupdates sind aktiviert, also sollte neuester Sicherheitsstand sein
- Avira Antivir Personal V 9 (aktuelle Signaturen)
- Spybot S&D, aktuell
- Firewall des Routers (Sinus DSL 154 Basic SE) aktiv
Spybot und Antivir haben nichts gefunden und nicht gewarnt.
Automatische Auswertung vom Hijacklog unter www.hijackthis.de meint, alles sei ok.

Aber irgendwas muß die Floods doch verursachen!

Entdeckt Ihr was? Oder habt einen Tipp?

Danke schon im Voraus!
Nervbert

Edit:
Jetzt habe ich mal die FW des Routers probehalber abgeschaltet (es geht nur ein/aus) - dann rennt hamburg.de wie Schmidts Katze.
Brauche ich die FW im Router? Reicht NAT?

Hijackthis-Logfile:HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:45:04, on 17.07.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\Explorer.EXE

C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe

C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe

C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

D:\Programme\VMware\VMware Player\hqtray.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\totalcmd\TOTALCMD.EXE

D:\Spiele\HiJackThis\HijackThis.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe

O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [VMware hqtray] "D:\Programme\VMware\VMware Player\hqtray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O15 - Trusted Zone: *.lufthansa.com

O15 - Trusted Zone: *.lufthansa.de

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - h**p://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1264793346531

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1264792581062

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1264792571000

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\VMware\VMware Player\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
 

--

End of file - 5843 bytes

--- --- ---

1x editiert vor dem Logfile

SYN Floods wurden mir bei meinem alten SMC-Router auch oft angezeigt. Auf neueren Routern hab ich die nie mehr im Log gesehen. Mach Dich da mal nicht mit verrückt, das ist mit Sicherheit kein kritisches Problem.
Ist das Sinus DSL 154 Basic SE schon ein älteres Modell? Welche Firmware ist da drauf?

Moin!

Ja, ist schon älter, ich habe ihn seit 2006, die Anleitung aus'm Netz datiert Juli 2004 und die Firmware ist die neueste V1.13 vom August 2006, wird wohl anscheinend nicht mehr gepflegt.

Könnte ich die Firewall des Routers denn gefahrlos abschalten?

Edit:
Ich kann neben der FW aber auch noch anderes konfigurieren:
Vorbeugender Schutz gegen Hacker
- Einschalten von SPI und Anti DoS der Firewall
- RIP defekt
- Abweisen von PING aus dem WAN
SPI (Prüfen von Datenpaketen)
- Paketfragmentierung
- FTP Dienst
- TCP Verbindung
- H.323 Dienst
- UDP Sitzung
- TFTP Dienst
Habe ich alles angehakt.

grüßt Nervbert

Zitat:

Könnte ich die Firewall des Routers denn gefahrlos abschalten?

Kann man machen, wenn man die Rechner im LAN denn weitgehend gehärtet hat. Ich würde die allerdings einfach an lassen und die SYN-Meldungen vorerst ignorieren.

Zitat:

Jetzt habe ich mal die FW des Routers probehalber abgeschaltet (es geht nur ein/aus) - dann rennt hamburg.de wie Schmidts Katze.
Brauche ich die FW im Router? Reicht NAT?

Hm ok, wen ndie Seite mit aktivierter Firewall nicht erreichbar ist, isses doof :D
Mit welchem Browser rufst Du hamburg.de auf? Oder kommen die SYN-Floods egal mit welchem Browser?
Vllt kannst Du ja auch mal mit einem Linux auf diese Seite gehen und beobachten ob SYN Floods auftreten. Kannst sowas wie Knoppix oder eine ganz normale Ubuntu-Installations-CD benutzen, den Rechner davon booten und loslegen :)

Schönen Dank für's Mitgrübeln!
(Übrigens: Ja, auch über Ubuntu in einer VM-appliance mit FF traten sie auf, und mit IE allein auch.)

Ich habe in einem Flickr-Forum eine Lösung gefunden, die mir erstmal weiterhilft, da ich eigentlich immer mit FF ins Netz ehe. :applaus:
Ich kopiere sie von hxxp://www.flickr.com/help/forum/9553/page5/ mal hierher (ich hoffe, ich verstosse damit gegen nix):

-----
An alle deutschen flickr-Benutzer mit t-dsl und T-sinus Router, bei denen die Bilder nicht oder nicht immer geladen werden.

Das Problem ist, daß flickr sehr schnell hintereinander viele Verbindungen zu ein und demselben Server aufbaut, um die Bilder zu laden. Die Firewall in den T-sinus Routern interpretiert dies als einen Hackerangriff und sperrt die Verbindung zum Bildserver von flickr. Es handelt sich hier also mehr um ein Problem ungünstiger Einstellungen der T-sinus-Router-Firewall als von flickr selbst. Leider gibt es, zumindest in meinem Router (sinus 154 DSL Basic SE), keine Möglichkeit die maximal möglichen Verbindungen zu einem Server zu erhöhen. Folgende Lösungsmöglichkeit für Firefoxbenutzer habe ich mit Hilfe von jspaw gefunden:

1. Geben Sie in die Adresszeile about:config ein - es erscheint eine Liste mit Einstellmöglichkeiten
2. Geben Sie in die Zeile, die oben über der Liste steht network.http.max ein - Sie sehen jetzt 4 Einträge
3. Klicken Sie doppelt auf network.http.max-connections und auf network.http.max-connections-per-server und setzen Sie die Werte jeweils auf 10
4. Starten Sie Firefox neu

Warten Sie etwa 5 Minuten (so lange sperrt der Router die IP) und versuchen Sie die Seiten mit den Bildern zu laden. Falls es immer noch nicht geht, können Sie die Werte noch weiter reduzieren, z.B. auf 8 oder 6.

Seit ich in Firefox network.http.max-connections und network.http.max-connections-per-server auf 10 gestellt habe, habe ich keinerlei Probleme mit dem Laden von Bildern mehr. Für andere Browser IE, Opera... ist diese Lösung nicht tauglich, da man dort keine derartigen Einstellungen vornehmen kann.
-----

Ansonsten: :dankeschoen:

Da haste ja nen tollen Router :balla:

Ist eben ein älterer Kamerad, Sinus DSL 154 Basic SE, aber solange er's problemlos tut...

Aber die Lösung, die ich da hatte, reißt's leider nicht bei allen Seiten raus. Geflutete Seiten werden eben nicht mehr angezeigt. *soifz*

Wie gefährlich ist das Abschalten von SPI und Anti DoS in den Sicherheitsoptinen des Routers?

Zitat:

Wie gefährlich ist das Abschalten von SPI und Anti DoS in den Sicherheitsoptinen des Routers?

Das kommt drauf an. Für einen 0815-Home-Account (sag ich jetzt mal :D) sind diese Features nicht wirklich überlebenswichtig. Vernünftige Konfiguration der Windows-Kisten ist viel wichtiger.