Jump to content
Matthew3000

Массовая сетевая атака Dos.Generic.SYNFlood [В процессе]

Recommended Posts

Сейчас атака пропала? дамп я так понимаю нужен когда атака идет?

 

собрал с компьютера с которого шла атака netstat -ano при включении был на этот порт, второй адрес эт контроллер домена спустя минут 10 собрал еще раз netstat и там уже все нормально

 

TCP *.*.*.52:49430 *.*.*.132:445 ESTABLISHED 4

 

Вчера до второй половины дня он вел себя нормально, вообщем стоит посмотреть как он будет вести себя, если начнется такая же история я соберу дамп.

 

Как долго его собирать? Или достаточно пару детектов сетевой атаки?

 

С уважением,

На всякий случай можно еще проверить компьютер, загрузившись с Kaspersky Rescue Disk.

Спасибо!

Share this post


Link to post

На сервере администрирования от локального адреса зарегистрировано событие:

Тип события: Обнаружена сетевая атака

Программа\Название: Неизвестно

Компонент: Защита от сетевых атак

Результат\Описание: Запрещено

Результат\Название: DoS.Generic.SYNFlood

Объект: TCP от 192.169.0.242 на локальный порт 13111

Объект\Тип: Сетевой пакет

Объект\Название: TCP от 192.168.0.242 на локальный порт 13111

 

на компе с которого это пришло стоит Kaspersky Endpoint Security 10 Maintenance Release 1 он никаких зловред у себя не нашел, единичное с момента регистрации события прошло 3 часа пока не повторилось

Share this post


Link to post
На сервере администрирования от локального адреса зарегистрировано событие:

Тип события: Обнаружена сетевая атака

Программа\Название: Неизвестно

Компонент: Защита от сетевых атак

Результат\Описание: Запрещено

Результат\Название: DoS.Generic.SYNFlood

Объект: TCP от 192.169.0.242 на локальный порт 13111

Объект\Тип: Сетевой пакет

Объект\Название: TCP от 192.168.0.242 на локальный порт 13111

 

на компе с которого это пришло стоит Kaspersky Endpoint Security 10 Maintenance Release 1 он никаких зловред у себя не нашел, единичное с момента регистрации события прошло 3 часа пока не повторилось

 

Здравствуйте!

Соберите, пожалуйста, дампы сетевых атак (как собирать см эту тему) и приложите их к запросу в CompanyAccount.

Сообщите нам, пожалуйста, номер запроса.

Спасибо!

Share this post


Link to post

Здравствуйте!

Аналогичная проблема - атаки DoS.Generic.SYNFlood в основном по 445, 139 портам на 2 компьютера в сети. На атакуемых компьютерах вирусов не найдено. Отправил дамп атаки в CompanyAccount, номер запроса INC000004125586.

Share this post


Link to post
Здравствуйте!

Аналогичная проблема - атаки DoS.Generic.SYNFlood в основном по 445, 139 портам на 2 компьютера в сети. На атакуемых компьютерах вирусов не найдено. Отправил дамп атаки в CompanyAccount, номер запроса INC000004125586.

 

Здравствуйте,

вы получите ответ в рамках тикета.

Но предварительно обратите внимание на статью. Возможно это поможет.

Спасибо.

Share this post


Link to post

А у нас на шлюз идут атаки

Intrusion.Win.HTTPD.GET.buffer-overflow.exploit на 80 порт.

DoS.Generic.SYNFlood Объект на 80, 443 порт в-основном, но есть исключения: на 139, пяти-значные порты.

Атаки не систематичные: может с какой-либо машины раз в сутки быть так и пару раз за час, а потом тишина.

Дампы пока поймать не удается.

KidoKiller ничего не находит, выводит отчет с кодом "0".

Чем можно нам помочь?

Edited by oit

Share this post


Link to post
А у нас на шлюз идут атаки

Intrusion.Win.HTTPD.GET.buffer-overflow.exploit на 80 порт.

DoS.Generic.SYNFlood Объект на 80, 443 порт в-основном, но есть исключения: на 139, пяти-значные порты.

Атаки не систематичные: может с какой-либо машины раз в сутки быть так и пару раз за час, а потом тишина.

Дампы пока поймать не удается.

KidoKiller ничего не находит, выводит отчет с кодом "0".

Чем можно нам помочь?

Похоже, что проблема с vk.com/vkontakte.ru - у VIP-ов есть доступ к этим сайтам. Забанил в веб-контроле и для них тоже эти два сайта и атаки пока что не идут.

Не знаю, решение ли это, т.к. чувствую скоро пойдут звонки.

Edited by oit

Share this post


Link to post

Здравствуйте!

Возникла аналогичная проблема - обнаружены периодические сетевые атаки DoS.Generic.SYNFlood на один из серверов. На компьютерах вирусов не найдено. Создал запрос в CompanyAccount INC000004810729, дамп выложил. Подозреваю ложное срабатывание...

Share this post


Link to post
Здравствуйте!

Возникла аналогичная проблема - обнаружены периодические сетевые атаки DoS.Generic.SYNFlood на один из серверов. На компьютерах вирусов не найдено. Создал запрос в CompanyAccount INC000004810729, дамп выложил. Подозреваю ложное срабатывание...

http://forum.kaspersky.com/index.php?s=&am...t&p=2437611

Share this post


Link to post

Спасибо!

В принципе, я так и думал, панике не поддался :) но хотелось бы исправить причину, а не оставлять беззащитными сервера. Надеюсь, помогут разобраться.

Edited by Hoenhime

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.