IP Spoofing

Det lyder mere som et DDoS angreb, og det har ikke noget at gøre med hvad der ligger på din computer. Det er mere med at den forkerte person får fat i dit ip nummer og så starter en pakkestorm.

Spoofing er vist noget andet.

Okay, men har du et forslag til, hvad jeg stiller opmed problemet?

/comment

Kontakt din udbyder, forklar dem problemet og bed om at få tildelt ny/nye IP adresse/adresser. Når det drejer sig om misbrug er de normalt villige til at hjælpe.

Invester evt. i en router med indbygget firewall.

Jeg kan forestille mig at der er nogen herinde der gerne vil se en HJT log trods du ikke mener der er noget.

Fortæl også hvilken sikkerhedspakke du har til windows samt hvilken software firewall du bruger.

Er der en på CS som har set sig sur på dig? Man kan vel få andre spillers ip via CS?

En firewall virker ikke så meget mod et effektivt ddos angreb..

Men ja, kontakt udbyderen og sig at de skal checke om der løber traffik igennem, og få et nyt ip. Spil på en anden CS server så.

Jeg fik tjekket min HJT log i går, men jeg har lige lavet en ny:

Logfile of HijackThis v1.99.1
Scan saved at 20:17:19, on 19-10-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Program Files\Razer\razerhid.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Razer\razertra.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Razer\razerofa.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis 1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129575655469
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Sikkerhedspakker er en by i Rusland for mit vedkommende. Jeg har først lige taget hul på at bruge en firewall i dag (den der sidder på nForce4 chipsettet). Softwaren til den er nVidias egen.

Hvis du med "sikkerhedspakke til Windows" mener SP2 og den slags, kan jeg fortælle, at jeg har alle de nyeste sikkerhedsopdateringer fra Windows Update.

/comment

@ strych9: Ja, jeg har tænkt lidt på det samme - der er helt sikkert nogle, der vil mene at det navn jeg har valgt er provokerende.

/comment

loggen virker ikke som om der er noget odiøst der...

mit løsningsforslag er eventuelt at vælge et nyt navn. =)
Sorry, men der er sgu ikke meget at gøre ved en ddos, og selvbestaltet legen hemmelig agent for at finde ud af hvem er ikke noget jeg kan anbefale.

Nåja, for resten: Kan det virkelig passe, at jeg ikke kan gøre andet end at skifte min IP-adresser?

/comment

En del af disse her værktøjer installeret på din pc`er er næsten et krav såfremt du vil undgå problemer fremover. Microsoft`s SP2 alene gør det slet ikke.
http://www.spywarefri.dk/vaerktoj.htm

Held og lykke.

Okay, strych9, så ringer jeg lige til TELE2ADSL i morgen og får en snak med dem om det.

Ved du om en firewall beskytter mig imod pinging (at andre kan tracke min IP)?

/comment

@ jeanette18: Tak for linket - det kigger jeg lige på.

/comment

ddos fungerer typisk således:
En fyr har kontrol over en masse maskiner, eventuelt via en virus/orm/andet
Han har en måde at fyre kommandoer til alle disse "zombies" på een gang. Typisk via en kanal på irc.
Han sætter dem så igang med at sende syn pakker til dit ip nummer. Det kan være flere hundrede maskiner på een gang der står og sender pakker til dig, og det blokerer din netforbindelse uanset om du har firewall eller ej. En firewall kan hvis den er god forhindre at din maskine bliver overbelastet og skal genstartes dog.
De syn pakker der sendes afsted sendes fra forfalskede afsender adresser (det er det som hedder spoofing - forfalsket afsender), så du har ingen mulighed for at sige hvor de kommer fra. Du har heller ingen måde at blokere dem i firewall for han kan bare ændre hvor din maskine tror de kommer fra.

Måder at forhindre syn floods/ddos:
ISP på de net som rummer de forskellige zombie maskiner implementerer egress filtering, som forhindrer at forfalskede ip'er forlader deres net.
eller
Din ISP blokerer i sin firewall samtlige maskiner som står og flooder dig. Det tror jeg nu næppe du får dem til.

Det er det eneste der er at gøre. Når flood når frem til din firewall så er din forbindelse allerede ubrugelig. Det drejer sig om at stoppe flood på et punkt hvor den ikke fylder hele forbindelsen ud, som feks på en backbone router ved indgangen af din udbyders net.

Ergo. Nej, der er ikke noget DU kan gøre ud over at skifte ip.

prøv proport,.-> http://downloads-zdnet.com.com/ProPort/3000-2381-10133486.html
der kan du selv holde øje med hvad der sker, check udbydende ipér på ripe.com. Og skriv til udbyder, eller politiet, om dine angreb.

Og.. det lyder ikke som spoofing, men som et direkte angreb.

her er en liste over begreberne..-> http://www.fas.org/irp/congress/1996_hr/s960605a.htm

så måske det er spoofing..O)
but who cares, så længe problemet bliver løst.!

comment> god idè. En effektiv virusscanner er endnu vigtigere. Jeg har prøvet stort set alle som findes på markedet og jeg har aldrig haft en bedre en kaspersky med licens. Den har indtil nu taget alt hvad der er kommet, og så opdaterede den sig selv flere gange hver dag. Ikke resource krævende på en pc`er.

Når jeg skriver at jeg er blevet spoofet, er det fordi firewallen fortæller, at der har været 4-6 forsøg på at spoofe min maskine lige efter maskinen er bootet. (De folk der laver denne slags, scanner de mine IP-adresse konstant, eller hvad?)

nForce4 firewallen kan sikre, at min forbindelse ikke bliver helt ubrugelig, selvom maskinen stadig er ustabil.

Men summa summarum: Jeg ringer til TELE2ADSL i morgen og snakker med dem om at få ændret mine IP-adresser.

/comment

PS: Mange tak for forklaringen :)

prøv proport..O)
og btw.. proport skal ikke installeres.

ps: et bedre link,.->> http://www.download.com/ProPort/3000-2381_4-10133486.html

@ jeannette18: Okay!

/comment

@ bartfreak: Will do :)

/comment

proport fortæller dig hvilke ipér der prøver at logge på, og det kan også lave en log du kan sende til politiet.

som sagt, så søg efter ipérne (udbydere) på ripe.net (sorry),.->> http://www.ripe.net/

bartfreak: Jeg er engang blevet ddos'et af et helt 192.168.10.* subnet hehe... Findes vist ikke på ripe.net =)

nææ.. er du i et bolignet, el. lign..?

ups så ikke det var strych9..O)

det lyder mere som virus el. lign..O)

nope, de havde bare spoofed afsender adressen. Det er nemt at gøre.

der er ikke mange proffer på det område i DK, de fleste vil bruge backoffice, el. hvad det nu hedder, og de er nemme at afslører.

@ strych9: Så de du siger er, at den der har smidt en DDoS efter mig også forsøger at spoofe min maskine, så de kan gøre det mod andre?

/comment

bartfreak: Tjoh, måske. Det kræver vist nok også et "rigtigt" operativsystem som Linux eller BSD. Jeg er ikke klar over hvor direkte adgang Windows giver eventuelle DDoS programmer til TCP/IP stakken. Måske det kan lade sig gøre på Windows - ved det faktisk ikke, men hvis det kan så er det ikke svært at finde noget til det på nettet. Angående på Linux er det også stort set færdiglavet. Prøv at søge lidt på nettet efter kaiten.c hvis du er interesseret.

comment: Du må forstå begreberne spoofing, ddos og ddos nets noget bedre. Kig eventuelt her http://en.wikipedia.org/wiki/Spoofing_attack
Nu er det ikke fordi jeg er snobbet, men jeg har altså virkelig sådan en lyst til at lukke eksperten.dk ned for i aften og kaste mig over et spil bf2. =) Lav lidt research, snak med tele2 og så vend tilbage.. så er jeg nok også færdig med at spille og har god tid igen. =)

Det er en smal sag af spoofe sin afsender ip under Windows. Men for at det skal være en succes, kræver det en udbyder som ikke filterer pakker fra, som har en ugyldig afsender adresse

Nå, men så har jeg fået snakket med TELE2ADSL, og de siger, at der ikke er nogen unaturlig aktivitet på min linie.

Derfor er jeg tror jeg også, at det er et hardware problem der gør maskinen ustabil.

Men snakken med TELE2 har ikke været helt forgæves. Derfor går pointene til anonym, fordi han/hun var den første til at opfordret mig til at ringe til TELE2.

Gider du poste et "svar", så jeg kan tildele dig pointene?

Tak til alle andre, for gode råd og vejledning :)

Mvh

comment

Der kommer et svar :o)

Godt du fik styr på det. Og ro i sjælen.

Point givet! :)

Mvh

comment

PS: Min søster og hendes kæreste er blevet inficeret med noget malware/virus et-eller-andet, så der kommer en HJT log op til gennemsyn i morgen eller på mandag, med mange point til samlingen :o)