kann mir mal jemand ev helfen - ? - DoS-Attacke?

[raider]

hallo alle miteinander!

ich hoffe jemand von euch kann mir helfen seit heute ging auf den notebook meines sohnes das internet sau langsam ich hab es dann neu aufgesetzt. später ging ich zu meinem notebook und es ging auch sau langsam wir haben dann abgedreht und es später nochmal probiert und dann ging gar nichts mehr ich kam nicht mal mehr zum router (außer ping). ich hab mich dann entschieden ihm einmal das kabel (strom) zu ziehen und siehe da plötzlich kam ich wieder zum router. ich habe alles mal durchgesehen und da fand ich im firewall log haufenweise dieser einträge:

Tue Jan 4 13:10:12 2005 1 Blocked by DoS protection 80.121.8.187
Tue Jan 4 13:10:22 2005 1 Blocked by DoS protection 80.121.12.85
Tue Jan 4 13:11:32 2005 1 Blocked by DoS protection 80.121.78.29
Tue Jan 4 13:11:43 2005 1 Blocked by DoS protection 80.121.24.30
Tue Jan 4 13:11:56 2005 1 Blocked by DoS protection 80.121.38.202
Tue Jan 4 13:12:30 2005 1 Blocked by DoS protection 221.215.100.97

(nur ein auszug) und es werden laufend mehr. kann mir jemand einen tipp geben was ich dagegen machen kann - HILFEEEEE!

lg
raider

[raider]

So mir reichts jetzt ich zieh mal den Modemstrom raus und bleib für heute in lan ich hoffe bis morgen hört das wieder auf oder es schreibt mir jemand was man dagegen machen kann
bis morgen
raider :-(

[fredl]

ich würde die fw-logs der dos-attacken an die telekom schicken. zumindest die 80.xxx.. sind von der TK-austria

Zitat:

inetnum: 80.121.0.0-80.121.17.255
netname: TA-HIGHWAY-SPEED
descr: Highway Customers
descr: Telekom Austria Aktiengesellschaft
country: AT
please report abuse incidents (eg network scanning, spam, etc.) to < abuse@aon.at >

obs was nützt, is die frage

[Sloter]

Unbedingt bei der Telekom anrufen und gleich viel Lärm machen.
So ein DDos macht mächtig Traffic, den du eventuell bezahlen mußt.

Sloter

[raider]

danke für den tip ich werd Ihnen gleich mal ein mail schicken und dann mal einen blick auf den verbrauchten traffic werfen wenn mir das verdächtig vorkommt ruf ich gleich mal dort an.

ich nehme stark an das dies ein willkürlicher zufallsversuch war den bei mir gibts nichts besonderes zu holen und wenn mir einer das systemlahmlegt bringt ihm das eigentlich ja auch nichts.

trotzdem würd mich auch interessieren ob ich das einzig richtige gemacht hab oder ob es auch noch eine andere ev. etwas offensivere methode gibt die man ev. einsetzten könnte - ich stelle mir nämlich nun die frage ob ich das modem nicht immer abstecken sollte wenn ich nicht im netz bin - eigentlich dachte ich jetzt wo ich adsl habe kann ich den router und das modem ja immer online lassen und bin so viel schneller online bzw. kann nun auch meine frau und mein sohn immer surfen wenn ich nicht zu hause bin und das fände ich dann schon sehr nervig.

lg
raider

ps: hab gerade einen blick ins log geworfen es ist noch nicht zu ende es geht noch weiter :-(

[raider]

sehr kompetent die bei der hotline von der ta ich soll ihnen die daten und eine beschreibung dazu faxen und mein modem mindestens 2 tage abhängen (vom strom und von der telefonleitung) jedenfalls aber bis sie sich bei mir rühren und wenn sie das nicht tun soll ich halt in ein paar (?) tagen wieder nachfragen bei ihnen anrufen und fragen was mit meinem fax ist - was ich wirklich davon halte will ich hier lieber nicht schreiben *ggg*.

seit 1.1. hab ich angeblich bereits 60 mb versurft (das glaub ich nie im leben) es wird also schon stimmen, dass der traffic der attacken auf mich geht :-( !

am besten habe ich gefunden, dass sie angeblich die ip adressen nicht zu usern zuordnen können (da kenn ich mich ja besser mit den gepflogenheiten von providern und deren gesetzlichen vorschriften aus *lol*) und dann setzten sie noch eins drauf höret und stauned -> da sie da gar keine ahnung von haben und auch gar nix machen können kommt das ganze dann an die rechtsabteilung ev. wissen die ja was zu tun ist *rotfl*.

bitte helft mir weiter ich glaube ich muss mir selber helfen nur leider weiss ich nicht wie!?!?!?

lg
raider

[maxb]

Code:

Log Time	Destination Port	Client IP
06.01.2005 00:43	445	213.6.254.17
06.01.2005 00:43	445	213.6.254.17
06.01.2005 00:36	445	213.103.79.196
06.01.2005 00:36	445	213.103.79.196
06.01.2005 00:23	445	80.170.98.200
06.01.2005 00:23	445	80.170.98.200
05.01.2005 23:46	445	213.141.41.58
05.01.2005 23:44	445	213.130.6.51
05.01.2005 23:14	445	213.22.180.20
05.01.2005 23:14	445	213.22.180.20
05.01.2005 23:02	445	213.251.114.184
05.01.2005 23:02	445	213.251.114.184
05.01.2005 22:42	445	83.33.221.209
05.01.2005 22:42	445	83.33.221.209
05.01.2005 22:17	445	213.76.54.177
05.01.2005 22:17	445	213.76.54.177
05.01.2005 21:21	445	12.144.23.73
05.01.2005 21:21	445	12.144.23.73
05.01.2005 20:18	445	213.131.67.14
05.01.2005 20:17	445	213.131.67.14
05.01.2005 20:17	445	81.33.126.51
05.01.2005 20:13	445	213.77.248.252
05.01.2005 20:13	445	213.77.248.252
05.01.2005 20:13	445	213.77.248.252
05.01.2005 19:46	445	213.143.54.209
05.01.2005 19:46	445	213.143.54.209
05.01.2005 19:43	445	213.137.122.182
05.01.2005 19:43	445	213.137.122.182
05.01.2005 19:25	445	206.32.22.59
05.01.2005 19:25	445	206.32.22.59
05.01.2005 19:20	445	82.51.164.198
05.01.2005 19:20	445	82.51.164.198
05.01.2005 19:16	445	201.225.122.92
05.01.2005 19:16	445	201.225.122.92
05.01.2005 19:05	445	213.194.213.186
05.01.2005 19:05	445	213.194.213.186
05.01.2005 19:05	445	213.194.213.186
05.01.2005 18:47	445	213.137.124.20
05.01.2005 18:47	445	213.137.124.20
05.01.2005 18:45	445	82.207.242.226
05.01.2005 18:45	445	82.207.242.226
05.01.2005 18:15	445	81.35.51.96
05.01.2005 17:42	445	213.169.50.47
05.01.2005 17:42	445	213.169.50.47
05.01.2005 16:17	445	213.36.0.151
05.01.2005 16:17	445	213.36.0.151
05.01.2005 15:43	445	151.8.35.69
05.01.2005 15:43	445	151.8.35.69
05.01.2005 15:23	445	141.150.67.163
05.01.2005 15:23	445	141.150.67.163
05.01.2005 15:11	445	81.214.232.58
05.01.2005 15:10	445	81.214.232.58
05.01.2005 14:56	445	220.188.20.227
05.01.2005 14:53	445	82.48.220.20
05.01.2005 14:50	445	213.76.86.22
05.01.2005 14:50	445	213.76.86.22
05.01.2005 14:21	445	213.219.172.199
05.01.2005 13:45	445	217.155.143.10
05.01.2005 13:45	445	217.155.143.10
05.01.2005 13:38	445	81.32.28.119
05.01.2005 13:38	445	81.32.28.119
05.01.2005 13:27	445	218.91.174.177
05.01.2005 13:27	445	218.91.174.177
05.01.2005 13:26	445	83.37.71.197
05.01.2005 13:26	445	83.37.71.197
05.01.2005 13:22	445	217.185.9.46
05.01.2005 13:22	445	217.185.9.46
05.01.2005 13:17	445	80.137.167.254
05.01.2005 13:17	445	80.137.167.254
05.01.2005 13:10	445	83.35.164.225
05.01.2005 13:10	445	83.35.164.225
05.01.2005 12:58	445	83.45.5.234
05.01.2005 12:58	445	83.45.5.234
05.01.2005 12:51	445	200.59.98.187
05.01.2005 12:51	445	200.59.98.187
05.01.2005 12:49	445	80.146.125.87
05.01.2005 12:49	445	80.146.125.87
05.01.2005 12:45	445	213.5.27.163
05.01.2005 12:45	445	213.5.27.163
05.01.2005 12:35	445	81.223.64.170
05.01.2005 12:35	445	81.223.64.170
05.01.2005 12:29	445	213.196.221.213
05.01.2005 12:29	445	213.196.221.213
05.01.2005 12:28	445	220.188.142.168
05.01.2005 12:22	445	80.183.56.56
05.01.2005 12:22	445	80.183.56.56
05.01.2005 12:18	445	80.32.174.94
05.01.2005 12:18	445	80.32.174.94
05.01.2005 12:08	445	218.91.175.132
05.01.2005 11:55	445	62.211.11.87
05.01.2005 11:54	445	213.190.30.187
05.01.2005 11:40	445	218.71.202.154
05.01.2005 11:40	445	218.71.202.154
05.01.2005 11:35	445	66.173.175.134
05.01.2005 11:35	445	66.173.175.134
05.01.2005 11:34	445	80.140.177.50
05.01.2005 11:34	445	80.140.177.50
05.01.2005 11:28	445	220.188.49.147
05.01.2005 11:20	445	213.142.173.68
05.01.2005 11:20	445	213.142.173.68
05.01.2005 11:16	445	220.188.156.236
05.01.2005 11:14	445	218.91.166.54
05.01.2005 11:13	445	218.91.166.54
05.01.2005 11:06	445	213.172.193.30
05.01.2005 11:01	445	218.91.166.54
05.01.2005 10:47	445	83.33.74.31
05.01.2005 10:46	445	81.39.157.70
05.01.2005 10:46	445	81.39.157.70
05.01.2005 10:46	445	220.188.139.36
05.01.2005 10:45	445	83.35.133.180
05.01.2005 10:45	445	83.35.133.180
05.01.2005 10:38	445	213.142.172.89
05.01.2005 10:38	445	213.142.172.89
05.01.2005 10:28	445	84.4.77.50
05.01.2005 10:28	445	84.4.77.50
05.01.2005 10:25	445	84.56.132.171
05.01.2005 10:25	445	84.56.132.171
05.01.2005 10:23	445	80.142.41.220
05.01.2005 10:19	445	220.189.20.202
05.01.2005 10:19	445	220.189.20.202
05.01.2005 10:04	445	217.227.51.77
05.01.2005 10:04	445	217.227.51.77
05.01.2005 09:52	445	83.42.69.202
05.01.2005 09:52	445	83.42.69.202
05.01.2005 08:41	445	66.135.232.207
05.01.2005 08:41	445	66.135.232.207
05.01.2005 04:54	445	213.140.249.150
05.01.2005 04:54	445	213.140.249.150
05.01.2005 03:58	445	213.196.225.39
05.01.2005 03:58	445	213.196.225.39
05.01.2005 01:45	445	211.75.55.70
05.01.2005 01:45	445	211.75.55.70
05.01.2005 01:26	445	213.142.173.87
05.01.2005 01:26	445	213.142.173.87

@raider

Das ist meine "Ausbeute" von 24h firewall log des Microsoft CIFS ports 445. Wenn du selbst trojanerfrei bist, würd' ich die sache mal schnell vergessen. Das ist ganz normal heutzutage.

grüße
maxb

[raider]

danke dir für den hinweis maxb!

ich hab mal einen tag den computer ganz ausgeschalten gelassen um zu beobachten ob es bei meinem transfervolumen auf diese art keine erhöhung gibt (past). nun schreibe ich mir die bytes zusammen die ich versurfe um herauszufinden ob mich das wirkliche etwas kostet und wenn ja wieviel bandbreite da draufgeht.

prinzipiell bin ich schon froh das andere das gleiche problem haben obwohl genaugenommen geht es mir auch wenn es nichts kostet gewaltig gegen den strich ( - dass dies so üblich ist - )!

jedenfalls scheint mir, dass die menge der meldungen in deinem log viel geringer sind als jene welche in meinem aufscheinen. (mein log gibt leider nicht alle her aber im schnitt hab ich derzeit jede minute 9 zeilen - und damit keinerlei probleme - diese menge scheint mein system locker zu verkraften *g*)
und dabei muss ich bemerken, dass die eintragungen heute ja schon viel seltener kommen als zum beispiel noch vorgestern.

ich habe mich jedenfalls entschieden mit meinm fax an die ta noch etwas zu warten da ich stark annehme, dass dies ja eh nix bringen wird.

jedenfalls würde ich gerne etwas dagegen machen aber nach meinem jetzigen wissensstand und meinen google-recherchen dürfte es wohl wirklich nichts dagegen geben :-(

die gute meldung des tages ist, dass mein compi (zumindestens bis jetzt scheinbar) noch nicht verseucht sein dürfte

ich werde es also vorerst wohl einfach so wie du sagst dabei belassen müssen!

besten dank und
lg
raider

[harry1983]

Zitat:

Original geschrieben von raider

am besten habe ich gefunden, dass sie angeblich die ip adressen nicht zu usern zuordnen können (da kenn ich mich ja besser mit den gepflogenheiten von providern und deren gesetzlichen vorschriften aus *lol*)

Das Problem ist das die IPs dynamsioch zugewiesen werden, und jedesmal wenn ein USer online geht er eine Andere bekommt!

Zitat:

und dann setzten sie noch eins drauf höret und stauned -> da sie da gar keine ahnung von haben und auch gar nix machen können kommt das ganze dann an die rechtsabteilung ev. wissen die ja was zu tun ist *rotfl*.

Das können sie auch nicht. Da wie gesagt jeder User der einen Privat Zugang hat eine dynamische IP hat ==> keine Chance den wirklich herauszufinden!
Und die Rechtsabteilung wird da auch nicht viel tun können das weiss ich jetzt schon

[raider]

danke für deine hinweise ich seh das auch so und da ich mittlerweile auch festgestellt habe, dass es nun nicht mehr so schlimm ist und ich nun keine probleme bei surfen habe werde ich es auch dabei belassen!

was die dynamischen ip-adressen angeht wollte ich jedenfalls noch dazu sagen, dass die (österreichischen - eu ???) provider gesetzlich dazu verpflichtet sind die zuordnung der ip-adressen (auch der dynamischen) zu den jeweiligen usern zu speichern (ich denke mal die datenbank ist immens groß und kaum auswertbar *g*) - ich würde wahrscheindlich auch behaupten, dass ich das nicht kann.

danke nochmals jedenfalls harry für deine hinweise

lg
raider

ps: steinig mich bitte nicht wenn du studierter jurist sein solltest und es besser weißt -> ich hab mein wissen nur aus dem wcm *g*