Сетевые атаки на локальный порт 11194

olegator · 7 Sep 2010

Ребят на компьютер идут сетевые атаки такого типа :

24.08.2010 14:32:56 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 62.85.84.237 на локальный порт 11194 24.08.2010 14:32:56 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 79.164.106.242 на локальный порт 11194 24.08.2010 14:32:56 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 193.33.232.2 на локальный порт 11194 24.08.2010 14:32:56 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 91.214.179.219 на локальный порт 11194 24.08.2010 14:32:56 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 213.108.217.14 на локальный порт 11194 24.08.2010 14:32:56 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 178.95.142.180 на локальный порт 11194 24.08.2010 14:32:56 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 79.165.25.155 на локальный порт 11194 24.08.2010 14:32:56 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 88.84.218.253 на локальный порт 11194 24.08.2010 14:32:56 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 95.107.99.3 на локальный порт 11194 24.08.2010 14:32:56 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 94.178.65.228 на локальный порт 11194 24.08.2010 14:32:56 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 93.116.243.53 на локальный порт 11194 24.08.2010 14:35:00 Обнаружено: DoS.Generic.SYNFlood Отсутствует TCP от 93.81.68.178 на локальный порт 11194
Click to expand...

Весь список копировать не стал он довольно длинный...
Причем все атаки идут на один порт 11194.
Касперский удачно все блокирует. Где то читал что при сетевых атаках он даже банит ип адрес с которого шла атака

Смотрел несколько адресов , все разные + раные страны, предполагаю пользуются прокси.

IP адрес:93.116.243.53 -Страна: Moldova,Город:Chisinau
IP адрес: 88.84.218.253 Страна: Russia, Город: Moscow
IP адрес: 94.178.65.228Страна: Ukraine, Город: Kiev
Click to expand...

Кто знает с чем это связанно. И к чему может привести?

0ldbi4 · 7 Sep 2010

SYN-флуд — одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок (RFC 4987).
Согласно процессу «трёхкратного рукопожатия» TCP, клиент посылает пакет с установленным флагом SYN (synchronize). В ответ на него сервер должен ответить комбинацией флагов SYN+ACK (acknowledges). После этого клиент должен ответить пакетом с флагом ACK, после чего соединение считается установленным.

Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет на сервере (цели атаки) очередь на подключения. При этом он игнорирует SYN+ACK пакеты цели, не высылая ответные пакеты, либо подделывает заголовок пакета таким образом, что ответный SYN+ACK отправляется на несуществующий адрес. В очереди подключений появляются так называемые полуоткрытые соединения (англ. half-open connection), ожидающие подтверждения от клиента. По истечении определенного тайм-аута эти подключения отбрасываются. Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого легитимные клиенты не могут установить связь, либо устанавливают её с существенными задержками.

Что непонятно? Ты администратор какого то портала?

olegator · 7 Sep 2010

0ldbi4 said:

SYN-флуд — одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок (RFC 4987).
Согласно процессу «трёхкратного рукопожатия» TCP, клиент посылает пакет с установленным флагом SYN (synchronize). В ответ на него сервер должен ответить комбинацией флагов SYN+ACK (acknowledges). После этого клиент должен ответить пакетом с флагом ACK, после чего соединение считается установленным.

Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет на сервере (цели атаки) очередь на подключения. При этом он игнорирует SYN+ACK пакеты цели, не высылая ответные пакеты, либо подделывает заголовок пакета таким образом, что ответный SYN+ACK отправляется на несуществующий адрес. В очереди подключений появляются так называемые полуоткрытые соединения (англ. half-open connection), ожидающие подтверждения от клиента. По истечении определенного тайм-аута эти подключения отбрасываются. Задача злоумышленника заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить новых подключений. Из-за этого легитимные клиенты не могут установить связь, либо устанавливают её с существенными задержками.

Что непонятно? Ты администратор какого то портала?
Click to expand...

Спасибо за информацию, я так и предполагал.
Нет же, у меня нет никакого портала. Атака идет на локальный порт 11194 моего компьютера.

DiplomatQ · 8 Jun 2011

Хм. Он у тя открыт разве? вероятно IP где-то засветился. Понятное дело, что на этом IP не только ты мог сидеть

Cock3r · 8 Jun 2011

Страна: Moldova,Город:Chisinau
Click to expand...

у меня на мыло зашли с этого города

Alex24 · 9 Jun 2011

Cock3r said:

у меня на мыло зашли с этого города
Click to expand...

Значит проверься на вирусы утилитами AVZ и Dr.Web CureIt!®, а также своим антивирусом.Затем меняй пароль на мыло и секретный вопрос.
Следи за статистикой посещаемости своего мыла и дальше.

shell_c0de · 9 Jun 2011

археологи ёпт)

domenz · 9 Jun 2011

ставь ubuntu+iptables

Сетевые атаки на локальный порт 11194

olegator Member

0ldbi4 Elder - Старейшина

olegator Member

DiplomatQ Elder - Старейшина

Cock3r New Member

Alex24 Member

shell_c0de Hack All World

domenz New Member

Хакеры ведут атаку на пентагон 10 часов

Useful Searches

Сетевые атаки на локальный порт 11194

olegator Member

0ldbi4 Elder - Старейшина

olegator Member

DiplomatQ Elder - Старейшина

Cock3r New Member

Alex24 Member

shell_c0de Hack All World

domenz New Member

Хакеры ведут атаку на пентагон 10 часов