SYN_FLOODING ATTACK en portscans

[nasuser]

Hallo allemaal,

Ik heb een paar dagen geleden met succes mijn ds online gezet.
Maar die zelfde dag nog, een uur later, probeerde de eerste (hacker) bij me in te loggen.
De laatste dagen krijg ik zo'n 4x per dag de melding van een soortgelijk incident, van het ds logboek.
Het logboek van mijn router vermeld de ene portscan na de andere  Dos aanval.

Ik heb ip blocker aangezet en inlog pogingen naar 1x gezet en dan definitief blokkeren.

Toch heb ik een paar vragen:

1.hoe kan het dat ik na een paar uur online te zijn, al gevonden ben door een "hacker"
2.moet ik me zorgen maken over de aanvallen op mijn router en ds?
3.kan ik nog meer doen om het risico van gehacked worden te beperken?

[Martijndez]

1. Omdat je ip adres Altijd al gescranned werd alleen nu krijgen ze reactie doordat er poorten open staan
2 en 3: het is belangrijk dat je een sterk wachtwoord hebt (voor alle account). Als dit zo is zou ik me er niet druk over maken.

[nasuser]

Nou ik maak me wel zorgen, ik heb er ook last van. Mijn internet verbinding word duidelijk merkbaar,  af en toe, beïnvloed door de syn_floods en af en toe kan ik bepaalde zaken niet of nauwelijks nog doen online.

Bestaat er geen meldpunt voor dit soort zaken?

[wopper]

Nope geen meldpunt het is namelijk de gewoonste zaak van de wereld op internet dat je gescand wordt. Je moet zorgen dat je eigen beveiliging goed op orde is.

[nasuser]

Nope geen meldpunt het is namelijk de gewoonste zaak van de wereld op internet dat je gescand wordt. Je moet zorgen dat je eigen beveiliging goed op orde is.

Ja ik begrijp het, maar het gaat hier niet alleen om scannen. En behalve dat ik mijn ip blocker aan heb staan en een bere sterk wachtwoord voor iedere account heb gemaakt, ondervind ik duidelijk een probleem met het gebruiken van mijn internet (door de aanvallen op mijn router). En dat is toch wat anders als gescand worden volgens mij.

Dus als iemand nog een goede tip heeft dan hoor ik het graag.

[thecell]

Dus als iemand nog een goede tip heeft dan hoor ik het graag.

Mailtje sturen met een log?

-------------
Lookup results for 77.95.97.46 from whois.lacnic.net server:

inetnum:        77.95.97.32 - 77.95.97.63
netname:        NL-GVRH-KLG
descr:          Katholiek Lyceum in het Gooi
country:        NL
admin-c:        MD7317-RIPE
admin-c:        RG4343-RIPE
admin-c:        NvE13-RIPE
tech-c:         RG4343-RIPE
tech-c:         NvE13-RIPE
tech-c:         GVRH-RIPE
status:         ASSIGNED PA
remarks:        Please send abuse issues to noc@glasvezelringhilversum.nl
mnt-by:         GVRH-MNT
source:         RIPE # Filtered
role:           Role for Glasvezelring Hilversum BV
address:        Glasvezelring Hilversum BV
address:        Alexanderlaan 2
address:        NL-1213 XS, Hilversum
address:        the Netherlands
admin-c:        PB8074-RIPE
tech-c:         JG8074-RIPE
tech-c:         FS8074-RIPE
nic-hdl:        GVRH-RIPE
mnt-by:         GVRH-MNT
source:         RIPE # Filtered
person:         Marcel Dopheide
address:        Katholiek Lyceum in het Gooi
phone:          +31 (0)620114440
nic-hdl:        MD7317-RIPE
source:         RIPE # Filtered
mnt-by:         GVRH-MNT
person:         Nick van Etten
address:        Katholiek Lyceum in het Gooi
phone:          +31 (0)613745608
nic-hdl:        NvE13-RIPE
source:         RIPE # Filtered
mnt-by:         GVRH-MNT
person:         Raymond Gijzen
address:        Katholiek Lyceum in het Gooi
phone:          +31 (0)651473736
nic-hdl:        RG4343-RIPE
source:         RIPE # Filtered
mnt-by:         GVRH-MNT
route:          77.95.96.0/21
descr:          Glasvezelring Hilversum BV
origin:         AS34756
mnt-by:         GVRH-MNT
source:         RIPE # Filtered

[nasuser]

Thecell,

Bedankt voor je antwoord.
Ik schrik een beetje van de gegevens.

Ik krijg behalve dit ip adres ook andere ip adressen die het zelfde doen maar dan op een tijdstip dat ik thuis aan het slapen ben. Zie bijlage.

[Roos]

Waar kan je dit terug vinden en hoe kan je de beveiliging beter maken?

[nasuser]

Hallo allemaal,

Ik heb de laatste dagen eens gekeken wat er allemaal met mijn NAS gebeurt sinds ik online ben gegaan.
Ik heb mijn ds op een soort van slaapstand staan, omdat ik zelf nog weinig gebruik maak van de ds.
In praktijk komt het er op neer dat de ds niet of heel kort in slaapstand staat.
Ik heb een uitdraai gemaakt van mijn logbestand en zou graag willen weten of iemand iets vreemds ziet? wat dit fenomeen veroorzaakt? Ik zie pogingen met aanmeldingen via "root"  en "admin" via SSH en TELENT.

Zie bijlage.

Van de ICT mensen op mijn werk heb ik begrepen dat ik dankzij het domein van synology zoveel pogingen om in te loggen op mijn NAS krijg? Zou dit kunnen?

De DDos  attacks op mijn router zijn inmiddels gestopt, volgens het logboek van mijn router.

[Goner]

Van de ICT mensen op mijn werk heb ik begrepen dat ik dankzij het domein van synology zoveel pogingen om in te loggen op mijn NAS krijg? Zou dit kunnen?

Nee, heeft volgens mij niks met synology.me te maken.
Ze scannen gewoon hele reeksen IP-adressen af naar 'bekende' poorten, zoals SSH (22), Telnet (23), FTP (21), HTTP (80) enz.

Als je je DS toch nog niet zoveel gebruikt, kun je de forwards naar je DS zolang uit je router halen.
Wat ook helpt is om die standaard poortnummers te vervangen door iets willekeurigs, bijv. 9022 en dan 9022 forwarden naar poort 22 op je DS. dat scheelt echt enorm, ze scannen maar een beperk aantal bekende poorten.

[Nelesss]

Dit ligt zeker niet aan je domein want die scant niet op poorten en al helemaal niet op de specfieke poorten zoals SSH, Telnet, FTP! Zoals hierboven aangegeven kun je het beste de poorten qua nummer veranderen. Of er voor kiezen om ze dicht te doen. Want zelf gebruik ik bijv. SSH, Telnet alleen thuis of via VPN.

[Björn]

Natuurlijk kun je poorten verplaatsen, dat scheelt altijd, maar het is ook hier en daar weer lastig om niet de standaard poort te gebruiken.

Ik begrijp ook eerlijk gezegd niet zo goed waarom dit keer op keer weer naar boven komt, want als je een goed wachtwoord hebt en je zet je autoblock aan dan is er niets aan de hand. Een goed wachtwoord is met een bruteforce attack sowieso al bijna niet te hacken, en als ze maar 5 pogingen per keer mogen doen dan is de kans afgerond 0.0 dat ze erin komen.

Kijk voor de gein eens hier: http://www.grc.com/haystack.htm

Neem een wachtwoord van 8 tekens met minimaal 1 leesteken, 1 kleine letter, 1 hoofdletteren 1 cijfer. Dat geeft 6,704,780,954,517,120 mogelijke wachtwoorden.

Met de 1000 inlogpogingen per seconde die ze op die site hanteren voor een online attack (dat haal je echt nooit op een Syno op een thuisnetwerkje met na elke submit weer een herlaad tijd) kom je dan op 21300000 jaar om alle wachtwoorden te proberen..

Zie bijgevoegd screenshot (* het wachtwoord wat ik daar heb ingevuld is volkomen uit de lucht gegrepen)



Enig idee hoe vaak er aan het portier van je auto gevoeld wordt of hij op slot staat? Daar maak je je geen zorgen om, want je weet dat alleen jij de sleutel hebt. Je gaat niet opeens de deurgreep verstoppen toch?

[thecell]

Met de 1000 inlogpogingen per seconde die ze op die site hanteren voor een online attack (dat haal je echt nooit op een Syno op een thuisnetwerkje met na elke submit weer een herlaad tijd) kom je dan op 21300000 jaar om alle wachtwoorden te proberen..

Dan moet je als bruteforcer wel echt de pech hebben dat net de laatste mogelijkheid de juiste is   

[nasuser]

Ok, ik ben overtuigd. Ik heb online een wachtwoord van 15 tekens gegenereerd, dus dat gaat voorlopig wel even mee.
Ik ben me uiteraard nooit zo bewust geweest , van het feit, dat er zoveel mensen aan mijn "deur" voelen of die open is. Ik zal er wel aan gaan wennen......

Ik wil iedereen bedanken voor het meedenken en ik zal een aantal adviezen ter harte nemen en ter zijne tijd toepassen.

Groet,
                         rob.
 

[Goner]

Enig idee hoe vaak er aan het portier van je auto gevoeld wordt of hij op slot staat? Daar maak je je geen zorgen om, want je weet dat alleen jij de sleutel hebt. Je gaat niet opeens de deurgreep verstoppen toch?

Er zijn meer manieren om een auto open te krijgen hoor ... of dacht je dat alle gestolen auto's niet op slot zaten ?