# Software > Ασφάλεια >  DOS Attack από χρήστη του AWMN???????

## dimitriss

Πρίν λίγο που γύρισα σπίτι είδα στα log του antivirus ότι κάποιος είχε δοκιμάσει να κάνει βόλτα από εδώ τα log ήταν τα εξής



```
14/4/2005 4:56:57 πμ 	Your computer has been attacked from ExoticomH.exoticom.awmn. Attack - SYN Flood. The attack has been successfully repulsed.
14/4/2005 9:24:17 πμ 	Your computer has been attacked from 10.40.176.5. Attack - SYN Flood. The attack has been successfully repulsed.
```

κάνω και ένα tracert να δω ποιος είναι αυτός που έιχει τη *10.40.176.5* και ...

```
Tracing route to ExoticomH.exoticom.awmn [10.40.176.5]
over a maximum of 30 hops:

  1   ...............
  7   349 ms   166 ms    88 ms  ExoticomH.exoticom.awmn [10.40.176.5]

Trace complete.
```

Googliζω να δω και τι ειναι ο SYN Flood γιατι δεν είχα την τιμή να τον γνωρίζω και βρήκα αυτό http://www.iss.net/security_center/advi ... efault.htm



```
The SYN flood attack sends TCP connections requests faster than a machine can process them. 

attacker creates a random source address for each packet 

SYN flag set in each packet is a request to open a new connection to the server from the spoofed IP address 

victim responds to spoofed IP address, then waits for confirmation that never arrives (waits about 3 minutes) 

victim's connection table fills up waiting for replies 

after table fills up, all new connections are ignored 

legitimate users are ignored as well, and cannot access the server 

once attacker stops flooding server, it usually goes back to normal state (SYN floods rarely crash servers) 

newer operating systems manage resources better, making it more difficult to overflow tables, but still are vulnerable 

SYN flood can be used as part of other attacks, such as disabling one side of a connection in TCP hijacking, or by preventing authentication or logging between servers.
```

Τι έγινε ρε παιδια?  ::   ::

----------


## Vigor

Αν όντως συνέβει κάτι τέτοιο, τότε τι να πω...Κρίμα, πολύ κρίμα γι αυτόν που το διέπραξε...Είπαμε είναι ένα μεγάλο testbed το awmn για όλους τους χρήστες του, αλλά ας υπάρχει κοινός νους.

----------


## TheLaz

Αν όντως......
Όχι και μεταξύ μας ρε παιδιά....  ::   ::

----------


## paravoid

Υπόψιν, το nmap όταν είσαι superuser κάνει από default TCP SYN stealth port scan (με λίγα λόγια δεν κάνει κανονικό handshaking αλλά το κόβει στη μέση, όταν μάθει αν η πόρτα είναι ανοικτή ή κλειστή).
Για ένα port scan το κάνει αυτό πολλές φορές, για κάθε πόρτα.
Για αυτόν τον λόγο, μερικά IDS μπορεί να το δουν ως SYN flood attack, ενώ στην πραγματικότητα είναι απλά ένα port scan.

----------


## Exoticom

Καλω θα ηταν πριν κανεις ποστ να με ενημερωνες πρωτα γιανα δουμε τι τρεχει.Διοτι δεν χερω και δεν εκανα τιποτα απο αυτα που γραφεις

----------


## ok_computer

μπορει να παιζει και ιος ρε παιδια...
Επειδη τον βλεπετε τον υπολογιστη μπροστα σας ,δεν σημαινει οτι ξερετε και τι κανει ακριβως.....
χα! αυτο ελειπε!!!

 ::   ::   ::

----------


## Exoticom

Το μονο που εχω να ομολογησω ειναι οτι εχει σταματησει να δουλευει ο Nortonas τις τελευταιες μερες και το pc αυτο ειναι 24/7 στο inet.

----------


## racer

Συνήθως τα περσότερα 'firewalls' τα παραφουσκώνουνε τα πράγματα χωρίς λόγο. Μην προδικάζετε και μην προτρέχετε  ::

----------


## dimitriss

δεν κατηγόρησα κανέναν, απλά μου φάνηκε πολύ περίεργο αυτό που είδα. Δε σημαίνει και απαραίτητα έγινε έγινε κατι εσκεμένα. Εγώ απλά ανέφερα αυτό που είδα. Τι το κακό έχει?

----------


## wiresounds

> Το μονο που εχω να ομολογησω ειναι οτι εχει σταματησει να δουλευει ο Nortonas τις τελευταιες μερες και το pc αυτο ειναι 24/7 στο inet.


Έχεις κολλήσει worm κάτι και αυτό τώρα προσπαθεί να βρει άλλα θύματα αφού πρώτα σου χάλασε την εγκατάσταση του Norton. Πολύ συνηθισμένη τακτική.

Κάνε uninstall το Norton και μετά ξανά install, κάνε full scan (ίσως να το πιάσει με την πρώτη), μετά update και ξανά full scan.

----------


## MerNion

Προτείνω να κανεις scan απο Safe-Mode και όχι απο κανονική λειτουργία των windows

----------


## the_eye

> Προτείνω να κανεις scan απο Safe-Mode και όχι απο κανονική λειτουργία των windows


+
Δες με
http://housecall.trendmicro.com/houseca ... _frame.asp
&
http://www.pandasoftware.com/activescan ... ncipal.htm
είναι free και online (με IE μόνο)

----------


## Exoticom

> ┌dav.bay0.hotmail.com:www = 2 1119 -PA- eth1 │
> └ExoticomH.exoticom.awmn:3102 = 6 552 DONE eth1


Εχω πολλες αιτησεις απο αυτο.,
Φαντασου και εχτες ηταν η πρωτη φορα μετα απο πολλα χρονια που χρισημοποιησα το Outlook
Μπορει ο ενωχος να ειναι ο malware.TROJ_TC.A
Παντος ουτε Ο Nortonas ,Mcafe..frape το βρηκε.Αλλα μονο το HouseCall.

----------


## dimitriss

βγάλε norton, mcAfee και βάλε kaspersky kai kaspersky anti-Hacker. Θα δείς μεγάλη διαφορά

----------


## ok_computer

πραγματικα!!!
μια τεραστια διαφορα στο ποσο μπορει να γονατισει το συστημα σου ενα anti-virus...
To eixa για 2 μηνες και σκεφτομουνα να ανοιξω το autocad....
amd 2200+, 512 ΡΑΜ

----------


## dimitriss

είναι ποιο "βαρύ" σε σχέση με άλλα, αν δε θέλει το antivirus ας βάλει μόνο το anti-hacker που είναι πολύ ελαφρύ.

----------


## JS

> είναι ποιο "βαρύ" σε σχέση με άλλα,


Τι λέτε τώρα ;;; Υπάρχει και άλλο πιο βαρύ απο τον Νόρτονα ;;;;;;
Και του προτείνετε να το βάλει ;  ::   ::   ::

----------


## pstratos

Εγώ έχω παρατηρήσει τέτοια μυνήματα σε περιπτώσεις πολύ μεγάλου trafic (10 Μb ) όπου ένα ταπεινό P2 τα έβρησκε αρκούντως σκούρα (έτρεχε και ένα κάρο υπηρεσίες) και τα logs γεμιζανε με τετοια... α, υπηρχε και ένα αλλο του τυπου "Το τάδε IRQ (NIC) με έχει τρελάνει τόσο συχνά που στέλνει αιτήσεις. Δεν το προλαβαίνω "

----------


## Cha0s

Το μόνο που έχω να προσθέσω στην κουβέντα είναι ότι απλά μπορούσες να κρύψεις το *.exoticom.awmn γιατί κάποιος που το βλέπει απέξω νομίζει το οτιδήποτε ενώ απότι φαίνεται ο Μανώλης δεν έκανε κάτι εσκεμένα!

Η ακόμα καλύτερα μπορούσες να έρθεις πρώτα σε επικοινωνία με τον Μανώλη να δεις τι παίζει εφόσων στα logs ήξερες ότι ήταν αυτός  ::  


Το καλό (  ::  ) στο δίκτυο μας είναι ότι υπάρχει επαφή μεταξύ των χρηστών και δεν είμαστε ένα απρόσωπο πράγμα όπως το internet  ::

----------


## kasiharis

Cha0s ++

Δεν πρέπει να "εκθέτουμε" τους κόμβους.
Αν ήθελαν να κάνουν hacking θα μένανε απλοί -απρόσωποι- clients.

----------


## dimitriss

Δεν ήταν σκοπός μου σε καμιά περίπτωση να εκθέσω κανέναν, ούτε και είπα ότι έγινε εσκεμένα. Έαν τον εξέθεσα, τότε πραγματικά λυπάμαι, αλλά ξαναλέω ότι δεν ήταν αυτός ο σκοπός μου.

----------

