Wlan Allergie T-Sinus 130 und Ibook

T

Trunx

Mitglied
Thread Starter
Dabei seit
24.10.2003
Beiträge
95
Reaktionspunkte
0
Moin zusammen,

hab seit ein paar Tagen folgendes Problem beobachtet:

Wenn ich mit meinem Ibook auf irgendwelche Internetseiten mit vielen Bildern gehe (z.B. bei ner Freundin Fotos anschaue) und da viele Daten reingeladen werden hängt sich mein T-Sinus immer mit dem Kommentar "SYN Flood" auf. Und diese Flut soll immer von meinem Ibook aus kommen (IP des Verursachers und die vom Book is gleich).

Mit der Telekom schon telefoniert, die sind bei Mac Sachen natürlich ratlos ("nur Windows"). Hab jetzt sämtliche Sharing-Sachen ausgeschaltet... et voila, es passierte schon wieder.

Und zwar resettet sich dann das komplette Modem/Router-Gerät.

Zur Hardware:

Es ist ein T-Sinus 130
WEP ist verschlüsselt (128Bit)

Es hängen dran: 2 Windows PCs, ein Ibook

Und so langsam wird es echt nervig... Gibts doch n Mac Virus, der jetzt dauernd irgendwelche DoS Attacken auf unschuldige Server von meinem Book aus startet?? ;)
 
Original geschrieben von Trunx
[...]hängt sich mein T-Sinus immer mit dem Kommentar "SYN Flood" auf. Und diese Flut soll immer von meinem Ibook aus kommen (IP des Verursachers und die vom Book is gleich).
[...]
Und so langsam wird es echt nervig... Gibts doch n Mac Virus, der jetzt dauernd irgendwelche DoS Attacken auf unschuldige Server von meinem Book aus startet?? ;)
Zum Vergrößern anklicken....
Wenn eine Verbindung zu einer Webseite (als Beispiel, generell TCP) aufgebaut wird, kommt es zu einem Drei-Wege-Handshake. Da schickt dein Book dann natürlich zuerst ein SYN1-Paket los und wartet auf ACK1, also eine Annahme der Verbindung. Möglicherweise bekommt dein Book aber keine Antwort und schickt somit relativ schnell wieder eine weitere Anfrage. Der Router erkennt das als Attacke und hängt sich halt auf.
Dass ein Virus oder Wurm das verursacht, ist beim Mac sehr unwahrscheinlich. Eher hat jemand persönlich bei dir ein Tool installiert oder ähnliches. Wer weiss?

Kurze Erklärung zum Thema:
Was ist SYN-Flooding?

TCP-Verbindungen werden nach einem Drei-Wege-Handshake aufgebaut, indem zuerst ein SYN-Pakete gesendet wird, darauf mit einem SYN/ACK-Paket geantwortet wird, und anschliessend die Bestätigung mittels eines ACK Bestätigung findet. Nun besteht die SYN-Flood-Attacke daraus dem Opfer beim Handshake eine falsche Absenderadresse zu übermitteln. Das SYN/ACK-Antwortpaket wird also ins Nirgendwo beantwortet. Wenn nach einiger Zeit keine Rückantwort des ACK-Paket erfolgt, wird der Verbindungsversuch als erfolglos abgebrochen. Nutzt man jedoch nun die Zeit bis zum Abbruch damit, dem Opfer eine Unmenge von SYN-Paketen zu schicken, und ihn somit zu überfluten, wird der Rechner des Opfers in die Knie gehen.

Hier ein Beispiel einer solchen Konversation:

# Der Angreifer sendet das Paket SYN 1 an sein Opfer.
# Das Opfer antwortet automatisch auf SYN 1 und wartet auf ACK 1.
# Der Angreifer sendet SYN 2.
# Das Opfer antwortet auf SYN 2, wartet nun auf ACK 1 und ACK 2.
# Der Angreifer sendet nun Paket SYN 3.
# usw.
# ...

Diese DoS-Attacke erlebte besonders im Herbst 1996 grossen Aufschwung. Eine sehr mächtige Portierung für Solaris wurde unter dem Namen synsol.c herausgegeben. Auch Macintosh-Systeme waren von SYN-Flood-Attacken betroffen.

SYN-Flooding: Gegenmassnahmen

FreeBSD reagierte mit einem Patch, wie dies auch andere Hersteller getan haben. Bei der Kompilierung eines aktuellen Linux-Kernels zum Beispiel, können Gegenmassnahmen aktiviert werden, um SYN-Flooding entgegenzuwirken. Die dahintersteckende Technik ist gleichermassen einfach als wie auch effizient: Nur eine gewisse Anzahl halboffener Verbindungen mit vertrauenswürdigen Hosts, mit denen ein Cookie ausgehandelt wurde, werden angenommen.
Zum Vergrößern anklicken....

Aktuell werden diese Attacken kaum mehr eingesetzt. Daher scheint dein Router ein Problem zu haben, was sich vielleicht mit einem Firmware-Upgrade beseitigen lässt.
Mit nmap kann man dann testen, ob sich der Router immer noch aufhängt, indem ein SYN-Scan gemacht wird. Download: https://nmap.org

In der Aktivitäts-Anzeige oder im Terminal mit ps- aux , bzw. mit top kann man alle laufenden Prozesse beobachten und ggf. den Übeltäter finden - so es denn einen gibt. Außerdem gibt tcpdump Einblicke ins Netzgeschehen. Eine WLAN-Karte empfängt ja alles in Reichweite und verhält sich wie eine Netzwerkkarte im promiscious mode. tcpdump-Hilfe: http://www.netzmafia.de/skripten/index.html
 
hab jetzt mal ein wenig rumgetestet und:

Es liegt an Safari!

Jeder andere Browser macht keine Probleme, aber sobald Safari was Größeres zu tun hat --> Schwups, verabschiedet sich mein Router! Juhu, mal was Einmaliges *kotz*
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten