Ataques Syn Flood

Responder
Nuevo participador

Ataques Syn Flood

Llevo varios dias con problemas de ataques Syn Flood, he llamado varias veces al 1470 y me han recomendado, resetear el router, ya lo hice y siguio sucediendo. Reinstalar el pc al cual aparecia constatemente la ip en el log, y sigue sucediendo.

 

Ya no se si es un problema del pc, es un ataque o no se que hacer. A ver si al final podemos dar con la solucion.

 

28/03/2018  20:11:50 **UDP flood** 192.168.1.100, 40634->> 216.58.210.142, 443 (from ATM1 Outbound)
28/03/2018  20:11:36 **UDP Flood (per Min)** 192.168.1.2, 54589->> 80.58.61.254, 53 (from ATM1 Outbound)
28/03/2018  20:11:36 **UDP flood** 192.168.1.2, 54589->> 80.58.61.254, 53 (from ATM1 Outbound)
28/03/2018  20:11:35 **UDP Flood (per Min)** *.*.*.*, 53263->> 80.58.61.250, 53 (from ATM1 Outbound)
28/03/2018  20:11:35 **UDP flood** *.*.*.*, 53263->> 80.58.61.250, 53 (from ATM1 Outbound)
28/03/2018  20:11:22 **SYN Flood (per Min) Stop**
28/03/2018  20:11:17 **SYN Flood Stop**       
28/03/2018  20:11:12 **UDP Flood (per Min)** 192.168.1.2, 54791->> 80.58.61.254, 53 (from ATM1 Outbound)
28/03/2018  20:11:12 **UDP flood** 192.168.1.2, 54791->> 80.58.61.254, 53 (from ATM1 Outbound)
28/03/2018  20:10:52 **UDP Flood (per Min)** 192.168.1.2, 59474->> 80.58.61.254, 53 (from ATM1 Outbound)
28/03/2018  20:10:52 **UDP flood** 192.168.1.2, 59474->> 80.58.61.254, 53 (from ATM1 Outbound)
28/03/2018  20:10:47 **SYN Flood (per Min)** *.*.*.*, 50862->> 2.17.133.224, 443 (from ATM1 Outbound)
28/03/2018  20:10:47 **SYN Flood** *.*.*.*, 50862->> 2.17.133.224, 443 (from ATM1 Outbound)
28/03/2018  20:10:47 **SYN Flood (per Min)** 192.168.1.2, 50862->> 2.17.133.224, 443 (from ATM1 Outbound)
28/03/2018  20:10:47 **SYN Flood** 192.168.1.2, 50862->> 2.17.133.224, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **UDP Flood (per Min)** *.*.*.*, 50969->> 80.58.61.254, 53 (from ATM1 Outbound)
28/03/2018  20:10:46 **UDP flood** *.*.*.*, 50969->> 80.58.61.254, 53 (from ATM1 Outbound)
28/03/2018  20:10:46 **UDP Flood (per Min)** 192.168.1.2, 50969->> 80.58.61.254, 53 (from ATM1 Outbound)
28/03/2018  20:10:46 **UDP flood** 192.168.1.2, 50969->> 80.58.61.254, 53 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood (per Min)** *.*.*.*, 50860->> 35.190.91.160, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood** *.*.*.*, 50860->> 35.190.91.160, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood (per Min)** 192.168.1.2, 50860->> 35.190.91.160, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood** 192.168.1.2, 50860->> 35.190.91.160, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood (per Min)** *.*.*.*, 50859->> 34.250.165.208, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood** *.*.*.*, 50859->> 34.250.165.208, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood (per Min)** 192.168.1.2, 50859->> 34.250.165.208, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood** 192.168.1.2, 50859->> 34.250.165.208, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **UDP Flood (per Min)** 192.168.1.2, 50969->> 80.58.61.250, 53 (from ATM1 Outbound)
28/03/2018  20:10:46 **UDP flood** 192.168.1.2, 50969->> 80.58.61.250, 53 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood (per Min)** 192.168.1.2, 50856->> 77.238.185.35, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood** 192.168.1.2, 50856->> 77.238.185.35, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood (per Min)** *.*.*.*, 50831->> 72.167.239.239, 80 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood (per Min)** 192.168.1.2, 50831->> 72.167.239.239, 80 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood (per Min)** *.*.*.*, 50830->> 93.184.220.29, 80 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood (per Min)** 192.168.1.2, 50830->> 93.184.220.29, 80 (from ATM1 Outbound)
28/03/2018  20:10:46 **SYN Flood (per Min)** *.*.*.*, 50801->> 109.123.210.73, 443 (from ATM1 Outbound)
28/03/2018  20:10:46 **UDP Flood (per Min)** *.*.*.*, 55682->> 80.58.61.254, 53 (from ATM1 Outbound)
28/03/2018  20:10:43 **TCP-SYN with data** 192.168.1.2, 50607->> 31.13.83.36, 443 (from LAN1 Inbound)

Nuevo participador

Re: Ataques Syn Flood

Nadie sabe nada al respecto?

Superusuario

Re: Ataques Syn Flood

Hola @aapalaciosbcn 

Según lo que yo sé, esos "ataques" son más comunes de lo que parece tanto de entrada como salida. Seguro que alguna de esas iPs pertenecen a Google, FB etc..

Son bots y es normal ya que están constantemente "trabajando" ante iPS aleatorias y puertos al azar.

Mi recomendación: Un firewall. O bien mediante soft o hardware.

 

Ya nos vas contando

Saludos.

Nuevo participador

Re: Ataques Syn Flood

El tema es que en el router de orange tengo el firewall activado y aun así me deja sin servicio a veces, reinstale el pc porque me dijeron que podia ser el pc, resetee el router de fabrica, todo pero sigue pasando.

 

Va bien mas o menos todo el dia pero siempre sobre al medio dia me pasa esto y me deja sin servicio y tengo que reiniciar el router para que me vuelga a navegar.

 

Yo reviso el pc, y es que ya me vuelvo loco porque no veo nada raro. Ya no se si es un ataque de dentro hacia fuera, o al reves o que es, y encima como la ip no te cambia....

Superusuario

Re: Ataques Syn Flood

Si tienes oportunidad, aunque sea para probar, desactiva el firewall del router e instala uno en el PC a ver si te mejora la cosa. Prueba luego a tenerlos los dos activados e intenta buscar de dónde son esas iPS. Por el log, da la sensación que son de entrada y salida pero es o normal. El equipo recibe una petición y la responde.

Entiendo que esta ip 192.168.1.2 es la que tiene asociada el PC verdad porque la del router no es. Por tanto incluso puede ser algún servicio del mismo ordenador que esté provocando esas peticiones. Del ordenador o el equipo que tenga esa IP.

 

Un saludo

 

Nuevo participador

Re: Ataques Syn Flood

Me recomiendas algún firewall en concreto para el pc?
Superusuario

Re: Ataques Syn Flood

Yo cuando usaba alguno en concreto, tenía el Zone Alarm. Pero ahora mismo puedes tener seguro que más opciones. Descárgate alguna versión de prueba , AVG tiene uno tambíén y a ver si logras ver qué está provocando esa pérdida del servicio.

Espero que lo puedas solucionar.

Un saludo

 

Nuevo participador

Re: Ataques Syn Flood

Bueno pues unos días después tengo prácticamente claro que son falsos positivos causados por el firewall del router. Y me doy cuenta de que ese log no es el culpable de lo que me pasa.

Me encuentro que tengo cortes en Internet con un log similar a esto.

DHCP Client Could not find DHCP daemon
Y se queda sin Internet, y tengo que reiniciar el router para solucionarlo, macho cada vez estoy más harto

Moderator

Re: Ataques Syn Flood

Hola.

 

¿Continúas con los problemas que nos comentas? Si es así, háznoslo saber para revisar con más detalle tu línea, tu router y lo que sea necesario.

 

Saludos.

firma-orange
Nuevo participador

Re: Ataques Syn Flood

El problema que tengo ahora es que cada día a una hora en concreta el router deja de navegar por internet. Y en el log aparecía que el dhcp no había podido encontrar la IP. Esto coincide en que reinicio el router y en el log ponía que el tiempo del dhcp era exactamente 24 horas y al pasar las 24 horas vuelve a suceder.

Yo tenía el livebox negro el que va depie, llame al 1470 y me dijeron que era el router y me enviaron un livebox+, pues el problema sigue exactamente igual y siempre es a las 24 horas de reiniciar el router justo después de perder la IP y no navegar.

Cuando esto sucede todas las luces siguen verdes menos la de telefonía que se apaga, hoy por probar he reiniciado el ont en vez del router y también se ha solucionado, pero mañana dentro de 24 horas volverá a suceder.