ZA hyperactief!!

Status
Niet open voor verdere reacties.

kdankers

Gebruiker
Lid geworden
28 jul 2001
Berichten
268
Ik heb ZA. Sinds kort zegt ZA dat er ongeveer 10 indringers per seconde in mijn PC willen komen. Het zijn allemaal van niveau MEDIUM, en ze worden allemaal gelukkig geblokkeerd.
Bestaat er een gevaar dat ze echt in mijn PC kunnen komen en schade kunnen aanrichten? En hoe komt dat ik nu een bezoek krijg van 10 per seconde krijg??
In een kwartier heeft ZA al 2500 indringers geblokkeerd. Amaai!
 
Hm... dat is wel een beetje vreemd ja. Ik zou je sowieso aanraden alles via Windows Update te updaten, dan zit je in combinatie met ZoneAlarm altijd veilig. Het risico op schade blijft dan ook nihil (mits je frequent weer naar Windows Update gaat en ook je virusscanner update).

Wat voor melding is het precies? Het kan namelijk ook vals alarm zijn natuurlijk.
 
Het lijkt me eerder dat er iemand een poortscan bij jou aan het doen is. Zolang ZA piept is het dus goed. (komt hij niet binnen)
 
Heb je niet toevallig ARP requests geblokkeerd in de firewall ?
Daar zijn er inderdaad tientallen per seconde van.

Nico :)
 
In de bijlage zie je hoe vaak per seconde en door wie.

Buick, ARP?? Wat is dat en waar vind ik die in ZA?
 
Laat maar, geen bijlage, heb van alles geprobeerd. Bestand te groot, afbeelding te klein.
 
Wat voor meldingen zie je dan in de LOG staan ?

Nico :)
 
Kan ook spyware zijn die iets van je pc verstuurt al gebeurt dit geen 10 keer per seconden. Je weet in iedergeval dat je veilig bent
 
Zie hier de bijlage. Hopelijk is het goed zichtbaar.
 

Bijlagen

  • za (small).jpg
    za (small).jpg
    94,1 KB · Weergaven: 60
Gedeeltelijk leesbaar. Volgens mij vind er een poortscan plaats. Alleen deze is goed verborgen via allerlei IP's. Wees blij dat ZA zo goed werkt.
 
Volgensmij is dit niet een poortscan, alle pc's maken alleen verbinding naar poort 8979. Deze poort is niet officieel toegewezen, dus kan het zijn dat de pc's kijken of er een trojan op jouw pc aanwezig is.

Het zou ook kunnen dat er een ddos aanval gaande is, misschien dat poort 8979 origineel een zwakke poort is in Windows (mij niets van bekend), in ieder geval zit je goed dankzij Zone Alarm. Maar blijf dus wel Windows Update doen én update de virusscanner!
 
Deze poorten worden regelmatig gebruikt voor Games Aliens vs. Predator.
Ik ken het spel in zijn geheel niet. Maar waarschijnlijk heeft dit ermee te maken. Het kan zijn dat een van de gamers een foutief IP adres heeft doorgegeven.
 
Ik denk dat het een Ddos is van mstream (ddos tool).
Dat programma kan ddos aanvallen uitvoeren vanuit fake IP adressen.
In een van de pagina's over het programma trof ik ook het betreffende poortnummer aan.

Zie een paar packets van het programma :
Code:
01:41:23.675780 142.14.73.40.43820 > 192.168.0.2.8979: . [tcp sum ok]
ack 0 win 16384 [tos 0x8] (ttl 255, id 55613)
0x0000   4508 0028 d93d 0000 ff06 4aa9 8e0e 4928 E..(.=....J...I(
0x0010   c0a8 0002 ab2c 2313 ff97 d237 0000 0000 .....,#....7....
0x0020   5010 4000 37e4 0000 0000 0000 0000      P.@.7.........

01:41:23.676748 144.19.212.69.44588 > 192.168.0.2.51668: . [tcp sum ok]
ack 0 win 16384 [tos 0x8] (ttl 255, id 56381)
0x0000   4508 0028 dc3d 0000 ff06 ba86 9013 d445 E..(.=.........E
0x0010   c0a8 0002 ae2c c9d4 0298 d237 0000 0000 .....,.....7....
0x0020   5010 4000 fdff 0000 0000 0000 0000      P.@...........

01:41:23.676749 155.176.45.2.45356 > 192.168.0.2.32793: . [tcp sum ok]
ack 0 win 16384 [tos 0x8] (ttl 255, id 57149)
0x0000   4508 0028 df3d 0000 ff06 532d 9bb0 2d02 E..(.=....S-..-.
0x0010   c0a8 0002 b12c 8019 0598 d237 0000 0000 .....,.....7....
0x0020   5010 4000 dd61 0000 0000 0000 0000      P.@..a........

Het beste wat je kunt doen is Zonealarm instellen dat hij niet elk alarm weergeeft anders wordt je er gek van ;)

Nico :)


bron:
http://www.cs.fiu.edu/campus/cndg/msg00006.html
 
Hartelijk bedankt voor de antwoorden!

Ik heb Windows XP update en update van antivirus gedaan.
Mijn internetverbinding is ook stuk langzamer geworden. Komt dat door al die indringers?
Dus als iemand die IP-adres van die Ddos verandert, word ik niet meer lastiggevallen?
 
Controleer toch voor de zekerheid een keer op spyware.
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan