Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Vraag over IP spoofing

07-04-2015, 11:40 door Anoniem, 22 reacties
Zag dat er vandaag om half 12 in de avond 2 IP spoofing meldingen stonden met mijn eigen lokale pc ip naar mijn pc contact te maken. Ik heb daarna maar mijn Router een hard reset gegeven wat ik al van plan was, Maar de vraag is moet ik mij zorgen maken over IP Spoofing, of is het feit dat de router de melding gaf genoeg om te weten dat het gestopt werd?
Reacties (22)
07-04-2015, 12:09 door Anoniem
Hoe en wat voor een heb je melding gekregen?
En klopt het dat je fingerprint/ip door een externe bron is gebruikt.
Of ben je slachtoffer van man in the middle attack?
07-04-2015, 12:14 door thisone
Hoe heb je de melding gekregen? En wat was de melding precies?
07-04-2015, 12:20 door Martijn25
op de router stond de melding van IP spooing: en daarna mijn lokale ip richting mijn lokale ip
07-04-2015, 12:35 door thisone
Als je bedoelt in de setup van de router die je via je browser instelt zal het een gewone optie zijn.
Vergelijk anders even (via firmware versie en type) online in je gebruikers handboek of die optie er is in die firmware.

Zo niet heeft de koude start zonet je firmware gereset..
07-04-2015, 12:36 door thisone
En kijk even via internet (check ip adres) of het de jouwe is..
07-04-2015, 12:44 door Martijn25
Het Ip dat ik zag was mijn lokale IP van mijn PC. Het was stom dat ik het log niet bewaarde en meteen een hard reset ging doen ja. Maar zelf ben ik alleen bang of deze persoon toegang tot mijn pc gekregen heeft of niet
07-04-2015, 12:48 door thisone
Zo leren we he.
07-04-2015, 19:35 door Eric-Jan H te D
Net van mijn modem-router geplukt. Zo ziet een poort scan eruit. Waarbij het IP-adres gespooft is maar de dommerd wel steeds hetzelfde MAC-adres gebruikt. Ongeveer 400 pogingen sinds gisteren 18:45

Poort 1 : TCPMUX
Poort 25 : SM'TP
Poort 3302 : SAP/R3 applicatiesrver
Poort 5900 : VNC
Poort 9200 : WAP-WPS

Manufacturer:Huawei Technologies Co., Ltd.
Product Style:HG655d
SN:#######
Hardware Version:VER.A
Software Version:V100R001C02B050

2015-04-07 18:24:52 Kernel Warning klog 104 104\x3c1\x3e Intrusion -\x3e IN=nas_a1_0 OUT= MAC=cc:96:a0:ea:c2:2a:00:25:9e:f4:53:80:08:00 SRC=221.194.44.173 DST=###.###.###.### LEN=40 TOS=0x00 PREC=0x00 TTL=103 ID=256 PROTO=TCP SPT=5523 DPT=1 WINDOW=16384 RES=0x00 SYN URGP=0

2015-04-07 18:13:28 Kernel Warning klog 104 104\x3c1\x3e Intrusion -\x3e IN=nas_a1_0 OUT= MAC=cc:96:a0:ea:c2:2a:00:25:9e:f4:53:80:08:00 SRC=217.79.191.28 DST=###.###.###.### LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=49959 PROTO=TCP SPT=25163 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0

2015-04-07 18:07:43 Kernel Warning klog 104 104\x3c1\x3e Intrusion -\x3e IN=nas_a1_0 OUT= MAC=cc:96:a0:ea:c2:2a:00:25:9e:f4:53:80:08:00 SRC=222.186.21.208 DST=###.###.###.### LEN=40 TOS=0x00 PREC=0x00 TTL=95 ID=256 PROTO=TCP SPT=6000 DPT=3302 WINDOW=16384 RES=0x00 SYN URGP=0

2015-04-07 17:55:20 Kernel Warning klog 104 104\x3c1\x3e Intrusion -\x3e IN=nas_a1_0 OUT= MAC=cc:96:a0:ea:c2:2a:00:25:9e:f4:53:80:08:00 SRC=78.138.97.19 DST=###.###.###.### LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=14150 PROTO=TCP SPT=1763 DPT=5900 WINDOW=65535 RES=0x00 SYN URGP=0

2015-04-07 17:24:15 Kernel Warning klog 104 104\x3c1\x3e Intrusion -\x3e IN=nas_a1_0 OUT= MAC=cc:96:a0:ea:c2:2a:00:25:9e:f4:53:80:08:00 SRC=117.21.173.179 DST=###.###.###.### LEN=40 TOS=0x00 PREC=0x00 TTL=98 ID=256 PROTO=TCP SPT=6000 DPT=9200 WINDOW=16384 RES=0x00 SYN URGP=0
07-04-2015, 21:36 door Martijn25
400 pogingen op de router wow. en er gebeurt niks slechts verder? Dan weet ik dat ik voor niks zit te stressen
07-04-2015, 22:13 door Eric-Jan H te D - Bijgewerkt: 07-04-2015, 22:15
Door Martijn25: .... en er gebeurt niks slechts verder?.....

Yep. De Firewall op de router blokkeert het inkomende verkeer gelukkig allemaal. Dus er gebeurt inderdaad niks slechts, behalve dat het modem wat extra stroom verbruikt om deze pogingen tegen te houden en te loggen.

Ik ben benieuwd of je binnenkort ook nog zo'n soort log kunt overleggen. Maar misschien gebeurt er niks spannends meer in jouw verbinding.
07-04-2015, 22:34 door Erik van Straten
07-04-2015, 19:35 door Eric-Jan H te A: Net van mijn modem-router geplukt.
[...]
2015-04-07 18:13:28 Kernel Warning klog 104 104\x3c1\x3e Intrusion -\x3e IN=nas_a1_0 OUT= MAC=cc:96:a0:ea:c2:2a:00:25:9e:f4:53:80:08:00 SRC=217.79.191.28 DST=###.###.###.### LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=49959 PROTO=TCP SPT=25163 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Dat is geen portscan maar iemand die kijkt of je een mailserver draait (wellicht als open relay). Het afzender IP-adres is niet gespoofed; dat is (in de meeste gevallen) zinloos bij TCP verbindingen. Dit geldt ook voor de andere pakketten die je toont.

En geen van de getoonde MAC adressen is van de "aanvallers" (aanval is een groot woord, het zijn eerder probeerders).

Achter "MAC=" toont jouw modem/router OSI layer-2 informatie, waarschijnlijk in de ontvangen byte-volgorde:
6 bytes destination address (jouw router): cc:96:a0:ea:c2:2a
6 bytes source address (router van jouw ISP): 00:25:9e:f4:53:80
2 bytes "Ethertype": 0x0800 betekent dat een IPv4 pakket volgt (zie https://en.m.wikipedia.org/wiki/EtherType).

Beide ethernet adressen zijn overigens van Huawei/Shenzen netwerk interfaces (zie de eerste 3 bytes van elk in https://code.wireshark.org/review/gitweb?p=wireshark.git;a=blob_plain;f=manuf).

Als je met een service zoals https://www.grc.com/shieldsup scant zul je dezelfde Ethernetadressen terugzien.

Bij een portscan zie je, vaak vanaf 1 IP-adres, meerdere poorten geprobeerd worden. Om zinvol te zijn zal de portscanner antwoorden willen ontvangen en dus geen IP-adres spoofen, ook niet bij een "distributed" portscan vanaf meerdere IP-adressen.
07-04-2015, 23:28 door Anoniem
Door Eric-Jan H te A: Net van mijn modem-router geplukt. Zo ziet een poort scan eruit. Waarbij het IP-adres gespooft is maar de dommerd wel steeds hetzelfde MAC-adres gebruikt. Ongeveer 400 pogingen sinds gisteren 18:45

Ik adviseer toch een basisboekje netwerk kennis, als je echt denk dat je het mac adres van de port prober hier ziet.

Als een Laag 3 sessie van buiten je lokale subnet afkomstig is, zul je op Laag 2 het mac adres van de gateway router zien, want slechts tot aan die router loopt je ethernet.
Net zoals verkeer van jou naar "ver weg" op ethernet naar het mac adres van je default gateway gestuurd wordt.
(Het opzoeken van dat mac adres is wat ARP voor je doet. En voor alles wat buiten je lokale subnet valt, zoekt ARP het mac adres van de default gateway op).
08-04-2015, 02:02 door Eric-Jan H te D - Bijgewerkt: 08-04-2015, 09:13
Door Erik van Straten:Dat is geen portscan maar iemand die kijkt of je een mailserver draait (wellicht als open relay). Het afzender IP-adres is niet gespoofed; dat is (in de meeste gevallen) zinloos bij TCP verbindingen. Dit geldt ook voor de andere pakketten die je toont.

Ik kan het niet met je eens zijn Erik. Het MAC-adres vond ik al raar lang. Dus jouw opmerking dat daar ook het MAC adres van mijn router in vermeld is, klopt. Het source-adres zou inderdaad het device van de ISP kunnen zijn. Dus beiden uit het Ethernet-frame. Dus ik was de dommerd; mijn opmerking over spoofing is bezijden de waarheid. Een klein testje met Shields-up bevestigt dit. Wat daar trouwens ook uit blijkt is dat mijn modem slechts de eerste vijf van een serie poortscans logt (vanaf hetzelfde IP-adres) en daarna een tijdje zwijgt. Dus die 400 logregels zijn waarschijnlijk maar een fractie.

Dat er poort "scans" worden uitgevoerd blijft in mijn ogen overeind. Want waarom zou iemand een mailserver bij mij moeten verwachten. En de andere poorten zijn al helemaal bizar. Ik kom van alles tegen. Waarbij die voor SMTP 25, VNC 5900 en RDT 3389 vaak voorkomen. "Someone(s) is/are knocking on my door". Dan was Xs4all wel prettig. Daar kon je poorten aan de ISP-kant dichtzetten.
08-04-2015, 10:50 door Martijn25
Helaas heb ik geen log meer om te laten zien, Ik dacht niet helder na toen ik het zag en voerde een Hard reset uit op mijn router inplaats van het log bestand te bewaren. Maar zo ver heb ik geen andere meldingen meer gehad op mijn router en ik hoop dat de experia box v8 het gestopt heeft toen i het zag en een melding maakte
09-04-2015, 05:52 door thisone - Bijgewerkt: 09-04-2015, 06:01
Weet nou even niet meer wie wie is maar heb je toevallig een VPN account bij PERFECT-VPN of EXPRES-VPN (weet de namen niet meer), in ieder geval VPN bedrijven die geregistreerd staan in China of HonKong???

Ja he?
09-04-2015, 05:57 door thisone - Bijgewerkt: 09-04-2015, 05:57
En voor Linux installeer PSAD. "PSAD -A" (-A= analyse)
Voor Windows houd je Event Viewer logs in de gaten.
09-04-2015, 10:27 door Martijn25
Ik kijk steeds naar de Even Vieuwer logs maar weet niet precies waar ik naar moet kijken of waar ik voor moet uit kijken. Heb gister wel een reinstall van de pc uitgevoerd
09-04-2015, 10:34 door Anoniem
En ik dacht dat het al redelijk dom was om je merk, type en software versie van je router te publiceren.
Het ziet er gewoon uit als een normale portscan. Dus iemand probeert even uit welke poortjes je open hebt staan. En als het goed is, is dat niets vanaf buiten.... toch?
09-04-2015, 15:11 door Eric-Jan H te D
Door Anoniem: En ik dacht dat het al redelijk dom was om je merk, type en software versie van je router te publiceren.
Het ziet er gewoon uit als een normale portscan. Dus iemand probeert even uit welke poortjes je open hebt staan. En als het goed is, is dat niets vanaf buiten.... toch?

"Are you tokking to me"

Ik heb niet voor niets mijn IP-adres en serienummer ge#t. Veel plezier met de overige gegevens.
10-04-2015, 12:43 door thisone - Bijgewerkt: 10-04-2015, 12:50
E-J, te H. Heb je die VPN of niet?
Anders is het inderdaad een low level portscan gezien de tijden die tussen de fingerprint pogingen zijn.

Maar het is geen normale portscan gezien de inkomende ip's wisselen wat wil zeggen dat je een botnet attentie hebt.

Eerder gehackt geweest?
10-04-2015, 14:42 door Erik van Straten
10-04-2015, 12:43 door thisone: Eerder gehackt geweest?
Als je een dynamisch IP adres hebt (dat daadwerkelijk wijzigt) kun je een hoop "leed erven" van eerdere P2P gebruikers, gamers, skiddies en gehackte PC's. Google: p2p afterglow
10-04-2015, 15:08 door Eric-Jan H te D
Door thisone:Maar het is geen normale portscan gezien de inkomende ip's wisselen wat wil zeggen dat je een botnet attentie hebt.

En 2 Erik.v S.

- Statisch IP-adres
- Geen VPN
- Wel eerder port-scans gehad. Volgens mij aangewakkerd na een torrent-download
- Nooit gehakt
- Niet zo'n merkwaardige scan, want mijn modem/router laat niet alle van hetzelfde IP-adres afkomstige regels zien. Zoals eerder vermeld in een burst laat hij slechts de eerste 5 zien. En daarna om de zoveel tijd één regel
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search