PDA

View Full Version : SYN_SENT... :?



Kris4an0
04-05-2009, 12:49
Така...понеже съм сигурен, че ще има все някой да ми помогне да питам...
Атакува ме ИП от Локала ми, нода ми изписва, че ме атакува и с някакъв файл xxx.worm(абе не го помна точно :) ) , иначе firewalla също ми е включен. Та като ми писне нода и аз веднага давам block the threat (terminate), просто нямам други опции. И така си мисля, че съм му блокнал атаката, на пръв поглед-да, нищо не се получаваше. Обаче ми хрумна в cmd-to да напиша нетстат да видя връзките и к'во се оказа... пише мойто ИП до мойто неговото и established демек сме свързани :shock: , другото което е...надолу има още много връзки като навсякъде пише от едната страна моето ИП от другата пише все вътрешни ИП-та и ги редува подред например 10.21.1.xx, когато изкара всички с 1 почва с 2, (10.21.2.xx ) после с 3...4...5 и т.н после 22...23 и така не спира. А пък на state , пише SYN_SENT, някъде и ESTABLISHED, но на повечето е SYN_SENT!
Пропуснах да добавя, че със всички ИП-та съм свързан с порт 445, а пък моите портове ги кара подред (например 2142, 2143, 2144, 2145 и т.н) :?
И така хора, надявам се да сте ме разбрали! :)
Ако има въпроси питайте.

MeTaLfAn
04-05-2009, 13:07
zashto si s nod :? :? :? AVAST drupni :)

Kris4an0
04-05-2009, 13:29
zashto si s nod :? :? :? AVAST drupni :)
Ами не знам с тия антивирусни...мненията са мнооого противоречиви. :?
Все пак и това ще опитам, ама преди това ще изчакам още мнение по въпроса...

CucAgMuH
04-05-2009, 16:03
Цялата история много подозрително напомня за sasser (http://www.symantec.com/security_response/writeup.jsp?docid=2004-050116-1831-99) - генериране на произволен IP адрес, споделящ първите два окета на твоят собствен(локален) и предизвикване на buffer overflow чрез опити за връзки.

Всъщност, ако част от името на файла "xxx.worm"(който "блокираш" при "атаката"), е например "W32.Sasser.Worm", "W32.Sasser.B.Worm", "W32.Sasser.C.Worm", "W32.Sasser.D", "W32.Sasser.E.Worm", "W32.Sasser.G" имаш готово решение което те чака на линка който съм ти дал за sasser(минаваш на таба REMOVAL, после цъкаш на линка "Download Removal Tool", цъкаш втори път там след като се зареди страницата с указанията, записваш туула някъде по компютъра си. Четеш как да го приложиш, прилагаш...).

Сега ми се спи и не мисля трезво. Довечера след 11, кaто мине planned maintenance-a - повече(ако не отида да хапна на ресторант, пък после да ме отвлекат...). 8-)

ivanstef
04-05-2009, 17:54
Да съгласен съм. Тука мирише на тъпа ебавка

БТВ NOD 32 Rulezz!

Kris4an0
04-05-2009, 18:37
Ами СисАдмин, нода честичко ми я изписва тая атака, така че следващия път когато ми се появи, ще запиша точното име на worm-а и ще видим как да действаме.
За пореден път се убеждавам, че Firewall-а е украшение към Windows, но к'во да се прави...
Склонен съм да си мисля като ivanstef, че някой си прави ташак с мен, защото ИП-то му е почти същото като моето (само последната цифра се различава) , което значи, че е някой от квартала ;)

CucAgMuH
04-05-2009, 22:55
А, не знам защо подхождате към нещата сякаш покрай вас е пълно с "хакери", които си нямат какво да правят и "хакват" съседите си :) Е, не е изключено като опция, но е малко вероятно...

По-вероятно е накой в локалната ти мрежа по някакъв начин да се е заразил с worm, който се опитва да се разпространи(именно от порта 445, и начина по който ти отваря що годе последователни портове с номера под 5000 се сетих за тая гадинка sasser - един колега много нерви бра с това чудо - мрежата за която го извикаха използваше буквално целият си капацитет само за SYN Flood и разпространение на sasser). Човекът който те "атакува" едва ли изобщо си има понятие че е заразен(и пак има малка вероятност да не е "заразен" и да го прави нарочно, ама... наистина много малка вероятност).

Мога да ви обесня малко за SYN атаките, за да им схванете принципа н действие.

В общи линии, SYN атака използва синхрнизационнат последователност на TCP за да прекъсне комуникациите. По принцип за изграждане на сесия чрез TCP се използва TCP процес на "тристранното ръкостискане".

Как се извършва тристранно ръкостискане:
1) Клиентът предава към целевият компютър сегмент със заявка за синхронизация(SYN) - последователен номер генериран от клиента.
2) Целевият компютър изпраща потвърждение (ACK), представляващо първначалният последователен номер на клиента плюс 1. SYN на целевият компютър представлява произволно генерирано число(от самият целеви компютър).
3) Клиентът добвя 1 към SYN на целевият компютър и го връща като ACK. След като и двата компютърa потвърдят че искат да комуникират един с друг се установява връзка(т.е. като пример - на netstat няма да виждаш вече "SYN" или "ACК", ами ще виждаш "ЕSTABLISHED" за съответната връзка).

Хубаво де, ама как това се използва за "атаки"? Просто е. 8-) Атакауващият чрез SYN стартира голям брой зявки за установяване на TCP сесии(например чрез набор спууфнати IP адреси). Компютърът приема тези заявки и ги поставя в опашка за изчакване(queque), където да изчакат завършване на процеса(т.е. да се минат стъпки 2 и 3 от "тристранното ръкостискане"). Хубаво обаче тая опашка за изчакване си има размер. Кофти, а? Ами ако някой ни я напълни до края и я поддържа постояяно пълна пращайки нови SYN заявки? Логично, просто няма да се обработват нови SYN заявки... а ако няма нови SYN заявки - сещате се вече :)

Красавеца sasser(или поне версията с която съм се сблъсквал, а пък и доста worms се "държат" по този начин) за да се разпространи, изпраща SYN пакет към целта, опитвайки се да установи TCP връзка(в частност към порт 445). Ако от отсрещаната страна сработи правилно firewall/antivirus, sasser-чо бива отрязан и продължава да си "виси" чакайки отговор... а заразеният вижда че е отправил "SYN" рикуест към някой в мрежата си(ако се сети да погледне). Човекът към който евентуално е изпратен рикуеста пък вижда че някой го "атакува".

Предполагам че нещо като sasser-чо е успяло да те инфлитрира. Връзките които виждаш като изходящ от теб SYN вероятно са опитите му да се разпространи и по останалите в мрежта.

Ваааай, разписах се... :lol: айде спирам... вие ще си питате ако има нещо 8-)