Router logger seg av nett

[TheGizmo]

Har en 3Com router som flipper litt.

 

Den logger seg ofte av nettet, ca 1-5 ganger pr dag. Har Stjelenor ADSL.

I flg. Bravida er det ingen feil på sentral/linje eller modem

(Har sjekka to modemer)

Ny firmware, dobbelt sjekka.

 

Router viser av og til denne loggen.

 

Ehhhhhh? Og på norsk?

 

2004/02/28 22:04:17 ** TCP SYN Flooding ** <IP/TCP> 66.98.XXX.XX:80 ->> 80.213.XX.XXX:4597

 

Ikke diss meg for spm, jeg må jo lære....

[nucleuz]

Wikipedia er jo ein fin start for det meste: http://en.wikipedia.org/wiki/SYN_flood

[kyrsjo]

noen prøver seg på avansert dossing...

 

når en TCP forbindelse skal opprettes over IP (ip = maskinaddresse, TCP = portnummer), sender først den som oppretter forbindelsen en pakke til serveren. Derreter sender serveren en SYN pakke tilbake, og setter seg til å vente på en ACK pakke tilbake. Når dette er gjort, er forbindelsen oppe, og de kan "snakke".

 

Men hvis en "hacker" sender pakke nr. 1 til en port mange ganger, men aldri svarer på SYN med en ACK (eller noe sånt), vil serverens/ruterens ressurser fylles opp.

 

poenget med dette er at en ond person kan sende en haug med "opprette forbindelse" pakker til masse servere/rutere (har ofte stooor bånbdbredde) med åpne porter (eks SSH), samtidig som han forfalsker sin IP med din. Dermed vil disse tro at du forsøker å opprette forbindelse, og svare med SYN. din ruter får en haug med SYN pakker den ikke har bedt om og ikke vet hva skal gjøre med, og bryter sammen i gråt.

 

poenget er når den aldri får svar med ACK på "ja, opprett forbindelsen" (de utnyttede serverene/ruterene skjønner heller ingen ting), får den en haug av "halvåpne forbindelser", dvs. forbindelser som ikke er lukket, ikke er åpnet.

 

les mer på grc.com

 

Er det samme IP hele tiden? Eller bytter det på?

 

prøv å slå opp med reverse DNS (dig -x IP på en linux boks med dig inne), så får du se tjenesteleverandør ol. hvis det er samme. så sender du en mail til [email protected]

[TheGizmo]

Takker for svar.

 

Den ene ip´n er online kunde hos Telenor, så her skal jeg si ifra.

 

Skjønner ikke hvorfor, det er aldri samme ip. Byttes mellom Norge, Dallas og Nederland. Ingen andre land, får jo ny ip pr ganger for dag, og har ingen server/ftp prog eller noen for for dns updater. Pc´er er virusj sjekka.