attacco SYN FLOOD?

[marco_c]

Ho un router 3com. Ho attivato la funzione di firewall, mettendola su High Level, il massimo. Prima di questo era disabilitata.
Da allora succede che un solo PC della rete ha difficoltà a navigare. Naviga, ma dopo qualche minuto alcuni siti non si vedono, gli dà "impossibile visualizzare la pagina", mentre sugli altri Pc della rete si vedono.
Se disattivo il firewall il PC in questione torna a navigare.
Sono andato a vedere i log del firewall:

SYN FLOOD to host 192.168.x.x

che è proprio il PC in questione!
più volte durante la giornata e sempre da ip di origine diversi

ma se anche si trattasse di un attacco syn flood... com'è possibile che se ATTIVO il firewall il PC NON naviga, mentre se DISATTIVO il firewall il PC va che è una meraviglia?!?

Grazie a chiunque mi aiuti
ciao

[Habanero]

Oltre all'IP privato del pc destinazione il log del firewall indica anche la porta del flooding?

Sulla macchina in questione sono installati programmi particolari che vanno su internet (p2p ad esempio)?


L'IP puoi anche non censurarlo tanto appartiene ad una classe privata e non è visibile direttamente sulla rete.

[marco_c]

Sì, ci sono anche le porte.
L'attacco proviene sempre dalla porta 80 e finisce nel pc locale in una porta sempre diversa, alcuni esempi:

1683
1497
1482
4009
3955
3893
3812
3771
3562
3522
3447
3408
3392

ecc.

[marco_c]

ho fatto nuove prove.
questo succede OGNI VOLTA che il mio client va su internet.
ho fatto la prova andando sul sito di libero, dopo averlo pingato per sapere l'ip.
sono andato sul sito di libero e subito mi si è bloccata la connessione.
sono andato nei log dei firewall e subito ho visto il nuovo evento: SYN FLOOD al mio host dall'ip di libero!!!
che cavolo può essere?

il pc non ha installato nessun programma particolare, niente p2p, niente giochi in rete, naviga semplicemente in internet

[Habanero]

Sinceramente non saprei...
Ovviamente quello rilevato dal tuo firewall non è un vero attacco. Probabilmente l'avere alzato il livello di protezione lo ha reso molto (troppo) sensibile a richieste di connessione ravviciate nel tempo.

Il grosso problema sta nel capire perchè ti succede con uno solo dei tuoi client. Questo è il grande mistero...

[marco_c]

Originariamente inviato da Habanero
Sinceramente non saprei...
Ovviamente quello rilevato dal tuo firewall non è un vero attacco. Probabilmente l'avere alzato il livello di protezione lo ha reso molto (troppo) sensibile a richieste di connessione ravviciate nel tempo.

Il grosso problema sta nel capire perchè ti succede con uno solo dei tuoi client. Questo è il grande mistero...

Beh... connessioni ravvicinate nel tempo non direi. L'ultima prova che ho fatto è stata l'unica richiesta di pagina web da quel pc in tutta la mattinana e lo stesso mi ha rilevato l'anomalia, e neppure gli altri pc stavano navigando.

Per quanto riguarda il livello di sicurezza del firewall: la differenza tra Medium Level e High Level è che l'high level fa da stateful packet inspection, mentre il medium no. normale quindi, non è un high level chissà quanto high...