А, не знам защо подхождате към нещата сякаш покрай вас е пълно с "хакери", които си нямат какво да правят и "хакват" съседите си Е, не е изключено като опция, но е малко вероятно...

По-вероятно е накой в локалната ти мрежа по някакъв начин да се е заразил с worm, който се опитва да се разпространи(именно от порта 445, и начина по който ти отваря що годе последователни портове с номера под 5000 се сетих за тая гадинка sasser - един колега много нерви бра с това чудо - мрежата за която го извикаха използваше буквално целият си капацитет само за SYN Flood и разпространение на sasser). Човекът който те "атакува" едва ли изобщо си има понятие че е заразен(и пак има малка вероятност да не е "заразен" и да го прави нарочно, ама... наистина много малка вероятност).

Мога да ви обесня малко за SYN атаките, за да им схванете принципа н действие.

В общи линии, SYN атака използва синхрнизационнат последователност на TCP за да прекъсне комуникациите. По принцип за изграждане на сесия чрез TCP се използва TCP процес на "тристранното ръкостискане".

Как се извършва тристранно ръкостискане:
1) Клиентът предава към целевият компютър сегмент със заявка за синхронизация(SYN) - последователен номер генериран от клиента.
2) Целевият компютър изпраща потвърждение (ACK), представляващо първначалният последователен номер на клиента плюс 1. SYN на целевият компютър представлява произволно генерирано число(от самият целеви компютър).
3) Клиентът добвя 1 към SYN на целевият компютър и го връща като ACK. След като и двата компютърa потвърдят че искат да комуникират един с друг се установява връзка(т.е. като пример - на netstat няма да виждаш вече "SYN" или "ACК", ами ще виждаш "ЕSTABLISHED" за съответната връзка).

Хубаво де, ама как това се използва за "атаки"? Просто е. Атакауващият чрез SYN стартира голям брой зявки за установяване на TCP сесии(например чрез набор спууфнати IP адреси). Компютърът приема тези заявки и ги поставя в опашка за изчакване(queque), където да изчакат завършване на процеса(т.е. да се минат стъпки 2 и 3 от "тристранното ръкостискане"). Хубаво обаче тая опашка за изчакване си има размер. Кофти, а? Ами ако някой ни я напълни до края и я поддържа постояяно пълна пращайки нови SYN заявки? Логично, просто няма да се обработват нови SYN заявки... а ако няма нови SYN заявки - сещате се вече

Красавеца sasser(или поне версията с която съм се сблъсквал, а пък и доста worms се "държат" по този начин) за да се разпространи, изпраща SYN пакет към целта, опитвайки се да установи TCP връзка(в частност към порт 445). Ако от отсрещаната страна сработи правилно firewall/antivirus, sasser-чо бива отрязан и продължава да си "виси" чакайки отговор... а заразеният вижда че е отправил "SYN" рикуест към някой в мрежата си(ако се сети да погледне). Човекът към който евентуално е изпратен рикуеста пък вижда че някой го "атакува".

Предполагам че нещо като sasser-чо е успяло да те инфлитрира. Връзките които виждаш като изходящ от теб SYN вероятно са опитите му да се разпространи и по останалите в мрежта.

Ваааай, разписах се... айде спирам... вие ще си питате ако има нещо