TCP FIN Scan

[tsiouficto]

Καλησπέρα... το tablet μου που έχει Windows8.1 δημιουργεί το παρακάτω στο router...

03/11/2015 22:45:37 **TCP FIN Scan** 192.168.2.14, 53879->> 138.108.7.20, 80 (from PPPoE1 Outbound)
03/11/2015 22:45:36 **TCP FIN Scan** 192.168.2.14, 53889->> 54.175.196.116, 80 (from PPPoE1 Outbound)
03/11/2015 22:45:36 **TCP FIN Scan** 192.168.2.14, 57909->> 54.171.44.228, 80 (from PPPoE1 Outbound)
03/11/2015 22:45:36 **TCP FIN Scan** 192.168.2.14, 53859->> 141.101.113.117, 80 (from PPPoE1 Outbound)
03/11/2015 22:45:36 **TCP FIN Scan** 192.168.2.14, 53871->> 52.0.96.144, 80 (from PPPoE1 Outbound)
03/11/2015 22:45:36 **TCP FIN Scan** 192.168.2.14, 58737->> 54.171.225.1, 80 (from PPPoE1 Outbound)
03/11/2015 22:45:35 **TCP FIN Scan** 192.168.2.14, 57903->> 62.38.2.182, 80 (from PPPoE1 Outbound)

Στο ίδιο router το οποίο στην ουσία το δουλεύω σαν repeater για το WiFi, υπάρχουν άλλες 5 συσκευές, αλλά μόνο στην ταμπλέτα παρουσιάζεται το παραπάνω. Δεν μπορώ να καταλάβω τι γίνεται, διότι ούτε τορρεντς τρέχω, ούτε τίποτα. Και το θέμα είναι ότι οι σελίδες σέρνονται απίστευτα. Τι μπορεί να συμβαίνει;

[babis3g]

μου φαινονται σαν attack ... κλεισε το μοντεμ και ξανανοιξε το (να αλλαξει η ip) και ενεργοποιησε στο μοντεμ DoS
το 4ο ηρθε απο Σιγκαπουρη
http://whois.domaintools.com/141.101.113.117
το τελευταιο απο Ελλαδα
http://whois.domaintools.com/62.38.2.182

EDIT
κανε και ενα scan για malware μηπως κατι κολλησε το συγκεκριμενο pc

[tsiouficto]

Τα router και τα δυο προφατα τα εκανα reset σε factory settings και είναι αρκετο διάστημα το ίδιο πρόβλημα. Μάλιστα πριν κάνω τα reset είχα το ιδιο θέμα από όλες τις συσκευές με όλα τα flood που παίζουν.

Εμένα αυτό που μου κανει εντύπωση είναι ότι είναι outbound και όχι inbound.

[babis3g]

μπορει και να δινει λαθος πληροφοριες το μοντεμ η να βλεπει κινησεις σαν attack ... εκνα edit πιο πανω να κανεις καλου κακου και κανα scan για malware

[deniSun]

Έτσι όπως εμφανίζονται τα logs δεν είμαι σίγουρος αν δέχεσαι εσύ επίθεση ή αν ΕΣΥ κάνεις επίθεση προς άλλους.
Περισσότερο μου κάνει η δεύτερη περίπτωση.
Δες αν υπάρχει κάποιο θέμα με vr/tr κλπ.

[tsiouficto]

Το έλεγξα και το μηχάνημα είναι καθαρό. Δεν μπορώ να καταλάβω τι έχει...

[deniSun]

Άλλαξες ΙΡ κάνοντας αποσύνδεση και ξανά σύνδεση;

[tsiouficto]

Άλλαξες ΙΡ κάνοντας αποσύνδεση και ξανά σύνδεση;

Με αυτόν τον τρόπο όχι, αλλά το πρόβλημα υπάρχει αρκετό καιρό και από τότε έχει αλλάξει αρκετές φορές η ΙΡ μου. Με ποια ακριβώς σειρά προτείνεις να το κάνω; Διότι εγώ απλά έκανα μια φορά release την ΙΡ μέσω cmd.

[deniSun]

Με αυτόν τον τρόπο όχι, αλλά το πρόβλημα υπάρχει αρκετό καιρό και από τότε έχει αλλάξει αρκετές φορές η ΙΡ μου. Με ποια ακριβώς σειρά προτείνεις να το κάνω; Διότι εγώ απλά έκανα μια φορά release την ΙΡ μέσω cmd.

Αυτό που έκανες ήταν μάλλον να αλλάξεις την ΙΡ του μηχανήματός σου.
Όχι της σύνδεσής σου.
Απλά δηλαδή ζήτησες να σου δώσει ο dhcp server του router σου νέα ΙΡ.
Εγώ αυτό που λέω είναι να πάρεις νέα public IP.
Για να το κάνεις αυτό ή κάνεις αποσύνδεση/σύνδεση στο PPPoE connections (εάν το υποστηρίζει το ρούτερ) ή κάνεις αποσυγχρονισμό/συγχρονισμό με κάποιο τρόπο πχ με επιλογή από το ρούτερ ή επανεκκίνηση του ρούτερ.

Δεν ξέρω τι πολιτική ακολουθεί η HOL στο θέμα των ΙΡ.
Δηλαδή αν σου του αγκιστρώνει για κάποιο διάστημα ανεξάρτητα με το πόσες φορές θα αποσυνδεθείς/συνδεθείς.
Ή αν ακολουθεί την πολιτική OTE/Forthnet όπου σε κάθε αποσύνδεση/σύνδεση παίρνεις νέα ΙΡ.
Δοκίμασε και πες μου.

[tsiouficto]

Με το ipconfig/release δεν αλλάζει η IP που παίρνω από τον πάροχο; Αλλά και πάλι, όπως είπα το πρόβλημα είναι καιρό και έχω αλλάξει αρκετές ΙΡ από τότε (το έχω ελέγξει).

Το περίεργο είναι ότι όταν ξεκίνησε το πρόβλημα είχα συνεχώς inbound και outbound attacks, είτε flood, είτε syn, είναι οτιδήποτε υπάρχει, όχι μόνο από το τάμπλετ αλλά και από δύο υπολογιστές, κάτι το οποίο θεωρούσα έως ένα σημείο λογικό διότι οι δύο αυτοί υπολογιστές είχαν τορρεντς ανοιχτά. Έκανα λοιπόν reset to factory settings και στα δύο ρουτερ, άλλαξα και κωδικούς και τα πάντα για παν ενδεχόμενο και όλες οι επιθέσεις σταμάτησαν πλην από αυτές της ταμπλέτας.

[babis3g]

μηπως το ραουτερ το βλεπει σαν attack? μερικα το κανουν

[tsiouficto]

Το έχω σκεφτεί και αυτό και δεν με πειράζει να το βλέπει όπως θέλει το ρούτερ, απλά το θέμα είναι ότι όποτε γίνονται αυτές οι "επιθέσεις" τρώει κολλήματα το ίντερνετ.

[babis3g]

εμμ κατι μπορει να γινεται ... εχεις ανοιχτο κανα DoS στο μοντεμ? αν ναι δοκιμασε να το κλεισεις ... δεν λεω ειναι λυση αν πραγματι κατι γινεται, απλα να δεις αν παλι κολλαει

[deniSun]

Με το ipconfig/release δεν αλλάζει η IP που παίρνω από τον πάροχο; Αλλά και πάλι, όπως είπα το πρόβλημα είναι καιρό και έχω αλλάξει αρκετές ΙΡ από τότε (το έχω ελέγξει).

Το περίεργο είναι ότι όταν ξεκίνησε το πρόβλημα είχα συνεχώς inbound και outbound attacks, είτε flood, είτε syn, είναι οτιδήποτε υπάρχει, όχι μόνο από το τάμπλετ αλλά και από δύο υπολογιστές, κάτι το οποίο θεωρούσα έως ένα σημείο λογικό διότι οι δύο αυτοί υπολογιστές είχαν τορρεντς ανοιχτά. Έκανα λοιπόν reset to factory settings και στα δύο ρουτερ, άλλαξα και κωδικούς και τα πάντα για παν ενδεχόμενο και όλες οι επιθέσεις σταμάτησαν πλην από αυτές της ταμπλέτας.

Όχι δεν αλλάζει την public ip αλλά την ΙΡ του ΗΥ σου.

[nss]

Αρχικά ας εξετάσουμε τις συμβαίνει: από διάφορες high TCP ports στέλνεις requests στην TCP 80 (http protocol) σε διαφορετικές I.P. Εξετάζοντας με nslookup έχουμε τα εξής: 138.108.7.20 ==> άγνωστος (A.C. Nielsen Company (διαφημιστική)) , 54.175.196.116 ==> ec2-54-175-196-116.compute-1.amazonaws.com, 54.171.44.228 ==> ec2-54-171-44-228.eu-west-1.compute.amazonaws.com, 141.101.113.117 ==> άγνωστος (CloudFlare CDN network (caching server)), 52.0.96.144 ==> ec2-52-0-96-144.compute-1.amazonaws.com, 54.171.225.1 ==> ec2-54-171-225-1.eu-west-1.compute.amazonaws.com, 62.38.2.182 ==> άγνωστος (HOL:62.38.0.0/16)

Συμπέρασμα. Μία εφαρμογή από το Windows Store, επικοινωνεί με την Amazon Web Services (Cloud Computing) μέσα από ένα caching server, ενώ παράλληλα η συσκευή σου "βλέπει" διαφημίσεις από την A.C. Nielsen Company καθώς (λογικά) αυτή η εφαρμογή είναι "δωρεάν" και μιας και δωρεάν δεν υπάρχει τίποτα πια, ο δημιουργός της εφαρμογής βγάζει χρήματα από τα κρυφά links.

Ελπίζω να βοήθησα.