Onderwerp bekijken
Geef hier je wensen aan. Wat ontbreekt er?
 Onderwerp afdrukken
IP spoof
Kees
Al een aantal dagen komen er pakketjes binnen bij poorten 110 en 143. Ik heb een aantal abuse@ geschreven. Eentje zegt dat hij niks kon ontdekken van uitgaande verbindingen naar mij toe. Eindelijk kreeg ik ook antwoord van iemand uit de States, dat het waarschijnlijk om een ip-spoof gaat, want de klant die echt bij dat ip adres hoort, kreeg een ddos aanval.
Ah, toen ging me een lichtje op, mijn systeem werd misbruikt. Ik heb die ip adressen wel geblokkeerd maar de pakketjes blijven komen en ik vind dat erg irritant.

Is hier iets tegen te doen? Ik ga het echt niet zelf uitzoeken want dan moet ik bij alle hops iemand zo bereid zien te krijgen dat hij de info geeft. Dat is meer de taak van Stipte, denk ik dan.

Nu schreef ik vannacht een mail naar abuse@stipte.nl maar denk je dat ik dan een reactie krijg? Welnee.
Ik noemde daarin twee ip adressen en daarvan is de flow opgehouden. Heeft Stipte daar iets aan gedaan? Een beetje terugmelding vind ik wel normaal hoor. Daar word ik wel eens pissig om, dat ze denken dat ik jan lul ben en dat het niet nodig is om me te vertellen wat ze gedaan hebben.

Maar goed, het probleem is nog niet opgelost want er zijn nog een stuk of 9 ip adressen die pakketjes sturen naar poorten 110 en 143
Kan iemand hier iets zinnigs over zeggen?
 
Karmozijn
Poort 110 en 143 zijn beide inkomende poorten voor email.
De verzender probeert denk ik je ontvangende email adres uit te vinden door een hele bulk aan email adressen te proberen. Normaal gesproken zie je dit soort "aanvallen" op webservers en niet op privé computers.

Test eens via Shields Up je poorten. Selecteer "common ports" voor een snelle scan.

Zijn je poorten wel "Stealth"?
Karmozijn
 
Kees
Die poorten staan open zoals het hoort.
Er komt geen email binnen maar wordt opgehaald.
110 is voor pop3 en 143 voor imap.

Maar wat er aan de hand is, is dat iemand pakketjes naar die poorten stuurt en het ip adres van een ander in de headers heeft gestopt.
Dus mijn server stuurt een reactie naar dat ip adres en daar krijgt het systeem zoveel voor zijn kiezen dat het systeem lam ligt omdat het bij heel veel systemen zo gebeurt.
Het gaat niet om 1 pakketje maar continue a 400 bytes per seconde wat hier binnenkomt per poort.
Op dit ogenblik van 3 ip adressen naar 2 poorten, dus 2,4 kb/s, dat is 207 Mb per etmaal wat naar me toe komt.

Ik heb die poorten open staan omdat familie hier de email ophaalt.

Het is voor mij niet te traceren. Ik kan niet meer doen dan die ip adressen blokkeren in de firewall, dus het komt hier binnen en gaat naar /dev/null
 
Karmozijn
Heb je de server in kwestie thuis staan?
In het geval van thuis, zit er een router tussen?
Karmozijn
 
Kees
Je, het staat thuis, maar dat maakt toch niet uit?
En ik kreeg net een nieuw modem, de fritzbox 7360 en daar zit ook een router in.
Maar wat maakt dat uit?
Ik kan niks aan de firewall van het modem instellen.
Ik heb alleen de portforwarding gebruikt om een paar poortjes naar mijn pc te sturen.

Het is nu weer even stil, niet te geloven :-)
Misschien hebben ze de daders te pakken, of ik juich te vroeg.
 
Karmozijn
Gedeeltelijk wel. Achter een router staan de poorten standaard op stealth tenzij je ze met een portforwarding opent.

De poorten moeten zeker geopend worden in je firewall van je server. Maar haal de portforwardingen eens weg en kijk of alles nog werkt.

Als het nog werkt dan staan je poorten op stealth en ben je geen prooi meer voor portscanners die naar open poorten zoeken.
Karmozijn
 
Kees
Hoe komt mijn familie dan nog binnen?
Dan kunnen ze toch geen email meer ophalen?
Ze scannen maar hoor, als ze een verkeerde username gebruiken of password, dan worden ze toch automatisch geblokkeerd, dat is het probleem niet. Dat zijn mensen die direct vanaf hun pc naar mijn pc gaan.
Maar het gaat nu om lui die ik ook wel blokkeer maar die pakketjes blijven sturen omdat hun systeem niet in de gaten heeft dat ik ze geblokkeerd heb. Ik denk dat het zelfs nog werkt als ik mijn poorten dicht zet want bij ieder poging stuurt 1 of ander systeem een berichtje terug dat er geen verbinding gemaakt kon worden. En dat gaat dan natuurlijk naar het ip adres dat men wil lastig vallen. Dus het kan best zijn dat men naar zoveel meer ip adressen pakketjes stuurt, of ze open poorten hebben of niet.
Maar goed, ik kan mijn poorten niet dicht zetten want de familie zit hier niet in mijn huis.
En het is ook veel beter dat ik ze open laat want door ze te blokkeren in de firewall, gaat er gegarandeerd niks 'terug' naar het verkeerde ip adres. Hun pakketje verdwijnt gewoon en er gebeurt niks mee.
Het is alleen irritant dat 1 of andere gek een ander wil lastig vallen en daarvoor andere systemen misbruikt. Hopelijk misbruiken ze daar ook computers van defensie voor en van de fbi.
 
Kees
Gisteravond was er een gek die met een sneltreinvaart naar mijn poort 110 zat te sturen. Ik heb een monitortool 'nethogs' die helemaal op hol sloeg. Nou ja dit was te gek, dus ik heb poort 110 even uitgezet, portforwarding weggehaald. Na een tijdje weer terug gezet en de gek was gestopt.
Nu heb ik van niemand meer last. Hoera (?).
Ik heb nog steeds geen id of Stipte de 2 ip adressen die ik in mijn mail naar de abuse vermeldde, heeft geblokkeerd.
Zou deze gek ook een lijstje van ip adressen naar de abuse kunnen sturen zodat ze alles daarvoor blokkeren? Ik was al een lijstje aan het maken van alle ip adressen waarvan ik rommel ontving, al 19 bij elkaar.
Hopelijk hebben ze de dader(s) nu gepakt.
En misschien leert abuse van Stipte nog eens om te reageren.
 
Karmozijn
Zelf gebruik ik CSF/LFD als firewall en monitoring voor zowel mijn home server en externe servers. Dit soort aanvallen worden dan vanzelf geblokt. Firewall
Karmozijn
 
Kees
Karmozijn, bedankt voor jouw reacties.
Die stoorzender was al eerder geblokkeerd in de firewall maar dat houdt het niet tegen dat er data naar mijn poort gestuurd wordt. Dat gaat ten koste van mijn downloadsnelheid.
Ik gebruik fail2ban en die doet het goed. Als iemand een aantal keer probeert in te loggen bij de mailserver dan gaat'ie vanzelf in de firewall. Of als iemand vervelend doet bij de http server, net zo. Zels bij de smtp server :-) Ik hoef al die narigheid uit Vietspam niet, of uit Brazilië of Oost-Europa enz..

Hopelijk is het morgen ook nog redelijk weer. Net mesheften gekocht om mee te vissen en dat wil ik toch graag uitproberen :-)
 
Deze website gebruikt Awin affiliate links en Google advertenties, om deze service voor iedereen gratis te houden.
Spring naar forum:
Nieuw onderwerp Antwoorden
Gebruik BBcode of HTML om naar; 'IP spoof', te verwijzen!
BBcode:
HTML:
Advertentie