SYN Flood

[ferropolis]

Hallo

ich habe seit einiger Zeit in meinem Router folgendes im Logfile - ausgehen von meiner DS411j (192.168.2.2).

17.12.2013 18:26:47 **SYN Flood** 192.168.2.2, 50757->> xx.xx.xx.xx, 51413 (von PPPoE - Ausgang)
17.12.2013 18:26:46 **SYN Flood** 192.168.2.2, 52295->>  xx.xx.xx.xx, 38008 (von PPPoE - Ausgang)
17.12.2013 18:26:46 **SYN Flood** 192.168.2.2, 49563->>  xx.xx.xx.xx, 58276 (von PPPoE - Ausgang)
17.12.2013 18:26:46 **SYN Flood** 192.168.2.2, 51753->>  xx.xx.xx.xx, 49817 (von PPPoE - Ausgang)
17.12.2013 18:26:46 **SYN Flood** 192.168.2.2, 55132->>  xx.xx.xx.xx, 60055 (von PPPoE - Ausgang)
17.12.2013 18:26:46 **SYN Flood** 192.168.2.2, 59049->>  xx.xx.xx.xx, 5151 (von PPPoE - Ausgang)
17.12.2013 18:26:45 **SYN Flood** 192.168.2.2, 47517->>  xx.xx.xx.xx, 49817 (von PPPoE - Ausgang)
17.12.2013 18:26:45 **SYN Flood** 192.168.2.2, 49404->>  xx.xx.xx.xx, 5151 (von PPPoE - Ausgang)
17.12.2013 18:26:45 **SYN Flood** 192.168.2.2, 39725->>  xx.xx.xx.xx, 5151 (von PPPoE - Ausgang)
17.12.2013 18:26:45 **SYN Flood** 192.168.2.2, 54391->>  xx.xx.xx.xx, 38308 (von PPPoE - Ausgang)
17.12.2013 18:26:41 **SYN Flood Stop** (von PPPoE - Ausgang)

Das geht die ganze Zeit so, mal mit 1-2 Minuten Unterbrechung, aber dann halt weiter.
Was ist das* und vor allem, was kann ich dagegen tun?

Zur DS411j
SW: 4.3-3776
Installierte Pakete: Antivirus Essential, Medienserver, Downloadstation (die auch arbeitet)

Danke euch für eure Hilfe.
ferropolis

*was das ist konnte ich im Internet nachlesen, ihr versteht die Frage schon.

 

[lopo_ch]

Hi ferropolis,

welche Ports hast Du an dem Router/Firewall freigegeben?
Die IPs sind alle aus DE bzw eine aus AT.

 

[jahlives]

@lopo_ch
wenn ich das Log richtig intepretiere sind das ausgehende Pakete ;-) Damit ist es egal welche Ports offen sind am Router
@ts
ist die 192.168.2.2 die IP deiner DS?
zudem bitte öffentliche IPs in Logs unkenntlich machen. Ausser es ist deine eigene

 

[lopo_ch]

@jahlives,

die logs meiner Firewall sehen etwas anders aus, aber wo Du mich mit der Nase drauf stösst ,
Doch würde das in dem Falle nicht bedeuten, dass die DS SYN Flood - Pakete an diese IPs sendet? Voraus gesetzt die DS ist die 192.168.2.2
Die Häufigkeit würde in dem Sinne auch darauf hinweisen..., oder?

Falls die 192.168.2.2 ein Windows PC ist, würd ich auf einen Trojaner tippen.

 

[jahlives]

Ein Trojaner wäre möglich, aber ich würde eher meinen hier hat ein Filter einen zu tiefen Schwellenwert. Wahrscheinlich werden nur die SYN Pakete pro Source-IP über einen bestimmten Zeitintervall gezählt. Gerade wenn man viele Verbindungen offen hat kommt man schnell auf viele SYN Pakete pro Source. "Primitive" Firewalls zählen nur die Pakete, eine intelligentere Firewall wird die SYN Pakete solange verwerfen bis das passende SYN/ACK von der Gegenseite angekommen ist (nennt sich oft SYN-Proxy)

 

[ferropolis]

welche Ports hast Du an dem Router/Firewall freigegeben?

5000, 7000, 5151 (für die DL-Station)
Aber wie schon gesagt, soweit ich und andere vermuten, ausgehende Pakete

ist die 192.168.2.2 die IP deiner DS?
zudem bitte öffentliche IPs in Logs unkenntlich machen. Ausser es ist deine eigene

die 192.168.2.2 ist meine DS, korrekt.
Das mit den öffentlichen IP’s hätte mir auch einfallen können. Sorry dafür

Falls die 192.168.2.2 ein Windows PC ist, würd ich auf einen Trojaner tippen.

Leider kein Windows PC sonder meine DS

Ein Trojaner wäre möglich, aber ich würde eher meinen hier hat ein Filter einen zu tiefen Schwellenwert.

Der Angesprochene Schwellenwert wäre dann aber eher ein Problem des Routers, oder? Auf den habe ich nur bedingt Einfluss, da er von T-Offline ist (W721V).

Ich habe jetzt mal nach und nach die Dienste deaktiviert und geschaut, was passiert. Wenn ich die Downloadstation stoppe hören auch die SYN Flood’s auf. Ich möchte an der Stelle noch mal sagen, das die Downloadstation aktiv ist, soll heißen, hier geht einiges an Traffic rein/raus.

Vielleicht würde es auch helfen die bisherigen Torrents in der Downloadstation zu halbieren?

 

[lopo_ch]

Hi ferropolis,

in dem Fall würde ich mal alle Dienste, die Du installiert hast, per Paketmanager nach einander anhalten und schauen, ob die Firewall irgendwann mit den logs aufhört.
"Installierte Pakete: Antivirus Essential, Medienserver, Downloadstation"

Könnte mir vorstellen, dass eventuell die Downloadstation sind mehrere Quellen "zusammensucht".

Auch könnest Du die Prozesse im Terminal der DS mit top beobachten, eventuell siehst Du da schon schon mal die IPs auf dem log.

 

[ferropolis]

Hey lopo_ch
schau mal meinen vorherigen Post, den habe ich etwas überarbeitet und verfeinert. Das sollte deine Fragen beantwrotet.

Was meinst du mit "top" - kannst du mir sagen was das ist?
Danke dir

 

[lopo_ch]

Hi ferropolis,

top ist ein Linux Konsolenbefehl, hier steht der sehr gut erklärt:
http://de.wikipedia.org/wiki/Top_(Unix)

Zu Deinem Router/Firewall (tuning) kann ich leider überhaupt nichts sagen, ich hab den IPCop auf einem Alixboard und bin happy damit.

Aber wenn die Downloadstation die SYN Flood’s verursacht, sind wir doch mal ein Stück weiter.

Im englischen Forum steht auch etwas über das Thema, aber "nur" in bezug auf Viren/Trojaner, nicht auf die Downloadstation bezogen.
Aber vielleicht weiss jahlives noch was.