Permalänk
Medlem

Skum trafik i mitt nätverk

Hej!

Jag upptäckte till min stora fasa att jag hade en del skum trafik inom mitt interna nätverk.

Det som står i routerns logg:
IP/UDP Spoofing 192.168.0.138:137 ->> 192.168.0.255:137
IP/UDP Spoofing 192.168.0.138:138 ->> 192.168.0.255:138

Jag har en Windows dator i nätverket och jag vet att det är netbios protokollet. Det skumma är att Windows datorn har ipt 192.168.0.10 och att samma trafik återkommer även när den inte är igång. Övriga datorer i nätverket kör Linux och OpenBSD. Routern som har loggat det hela är en 3Com 3C855 router.

Vad jag kan se så är bara pop3 och smtp öppet utifrån och in.

Kan det vara så att jag har blivit hackad?

Tacksam för svar och ideér angående vad som kan skapa trafiken.

Visa signatur

EC - UGH

Permalänk
Medlem

hummm......

skulle det kunna vara nån program vara som letar efter nånting på nätverket typ nåt förinställt eller nåt gammalt program du haft sniffa vilken av dina datorer som spoofar ...

kolla det.

Visa signatur

De två dator nördarna till varandra.
1. -Vilken av SCSI eller IDE diskar skulle du välja...
2. -Lungt SCSI det andra är ingen idee

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av eXa
hummm......

skulle det kunna vara nån program vara som letar efter nånting på nätverket typ nåt förinställt eller nåt gammalt program du haft sniffa vilken av dina datorer som spoofar ...

kolla det.

Har du något tips på något program som jag kan kolla det med?

Visa signatur

EC - UGH

Permalänk
Hedersmedlem

Finns det ingen inställning så man kan blocka 192.168.0.0/24 att komma in genom routern?

Visa signatur

Asus B550M-Plus / Ryzen 5800X / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + HDDs / Corsair RM650x / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Permalänk
Medlem

vad står det mer i din routers logg loggar den all aktivitet på nätet ? eller bara ut mot nätet?

Visa signatur

De två dator nördarna till varandra.
1. -Vilken av SCSI eller IDE diskar skulle du välja...
2. -Lungt SCSI det andra är ingen idee

Permalänk
Medlem

man kan göra en access-lista men det beror på vad du har för router

Visa signatur

De två dator nördarna till varandra.
1. -Vilken av SCSI eller IDE diskar skulle du välja...
2. -Lungt SCSI det andra är ingen idee

Permalänk
Medlem

Jag har som sagt en 3Com router.

Jag har satt igång brandväggen. Jag kan inte göra så många inställningar dock

Det den loggar är endast intrångsförsök och som sagt spoofningar.

Ska se om jag har någon sådant när jag kommer hem ifrån skolan. Om det finns så vet jag att det är från det externa nätverket då jag dödade alla datorer innan jag gick hemifrån.

Visa signatur

EC - UGH

Permalänk
Medlem

men som jag förstår av vad den loggaen har sagt så är det nån som spoofar det där ip på port nummer: 137 och 138 och det är nog nån extern utifrån som har kommit in på ditt nät med dom ip addresserna som står alltså är det en vanlig bredbands router eller är det nån hightech? jag vet inte om nån har lyckats komma in iumed att den har loggat det där men det är mkt möjligt slå på en sniff som kollar alla trafik genom routern så kan du ju kolla vad den kommer ifrån... om du har tur.

Visa signatur

De två dator nördarna till varandra.
1. -Vilken av SCSI eller IDE diskar skulle du välja...
2. -Lungt SCSI det andra är ingen idee

Permalänk
Medlem

Rätt ordinär... 3Com® OfficeConnect Cable/DSL Gateway modell 3C855.

Med vad ska jag sniffa då? Min router klarar inte det.

Visa signatur

EC - UGH

Permalänk
Medlem

hummm ska kolla upp ifall man kan få tillgång till att logga all trafik på din router eller om det bara går port för port... återkommer

det finns ju programvara att logga allt som sänds och tasemot på vanliga routrar som vi har... dock är dom något dyrare =D vet inte om det går på din men är det det ända som står i loggen på din router eller ja vad exakt är det som den loggar det var visst nån ibyggd firewall i din har jag för mej.,...

Visa signatur

De två dator nördarna till varandra.
1. -Vilken av SCSI eller IDE diskar skulle du välja...
2. -Lungt SCSI det andra är ingen idee

Permalänk
Hedersmedlem

Du kör inte Samba på någon av Linux/OpenBSD-datorerna? Har någon dator i nätverket det ip-numret?

Permalänk
Medlem

Kör inte samba på någon av burkarna. Upptäckte även att den trafiken uppkommer även när alla mina burkar är avstängda (slet ur tp-kablarna ur routern). Alltså kommer trafiken via internet.

Asså jag börjar bli rikitgt orolig pga av den trafiken.

Ska se ifall det hjälper att byta ip på mitt interna nätverk.

Visa signatur

EC - UGH

Permalänk
Medlem

kan du inte lägga in några filter i brandväggen i routern eller bygga access-listor?

Visa signatur

De två dator nördarna till varandra.
1. -Vilken av SCSI eller IDE diskar skulle du välja...
2. -Lungt SCSI det andra är ingen idee

Permalänk
Medlem

Hur länge har du haft det såhär?

Visa signatur

Negative

Permalänk
Medlem

jag kan inget bra sniff program i huvet men dom brukar fungera på ungefär samma sätt då börjar du scanna lite och sen gör du ett filter där du filtrerar bort alltrfik som går från din respektive dom andra datorerna och kollar sen vad för packet du har kvar ...

lite rörigt kanske =D

Visa signatur

De två dator nördarna till varandra.
1. -Vilken av SCSI eller IDE diskar skulle du välja...
2. -Lungt SCSI det andra är ingen idee

Permalänk

Eftersom det står spoofing i loggen så vet ju routern att det är spoofing. Vore en konstig router om den inte blockade det då.

Visa signatur
Permalänk
Medlem

Jag är inte säker på hur länge det har varit så Satt bakom en ISP brandvägg tidigare så jag har inte brytt mig om säkerheten så mycket.

Anledningen till att jag upptäckte det var att jag kollade över lite inställningar i routern.

Det kan vara så att routern spärrar den trafiken. Jag hoppas verkligen det.

Jag bytte iprange på mitt interna nätverk igår som jag sa tidigare och det verkar ha hjälpt. Kan det vara så att någon har lyckats sno en ip ifrån mig när jag använde dhcp för att confa nätverket ?

En annan sak jag börjar störa mig på är att någon jäkel (ipt tillhör en isp) har försökt ansluta på port 8000 till min router.. Ska se ifall man inte ska ta och snacka med min egen isp om det.

Visa signatur

EC - UGH

Permalänk
Hedersmedlem
Citat:

Ursprungligen inskrivet av EC
Jag är inte säker på hur länge det har varit så Satt bakom en ISP brandvägg tidigare så jag har inte brytt mig om säkerheten så mycket.

Anledningen till att jag upptäckte det var att jag kollade över lite inställningar i routern.

Det kan vara så att routern spärrar den trafiken. Jag hoppas verkligen det.

Jag bytte iprange på mitt interna nätverk igår som jag sa tidigare och det verkar ha hjälpt. Kan det vara så att någon har lyckats sno en ip ifrån mig när jag använde dhcp för att confa nätverket ?

En annan sak jag börjar störa mig på är att någon jäkel (ipt tillhör en isp) har försökt ansluta på port 8000 till min router.. Ska se ifall man inte ska ta och snacka med min egen isp om det.

Det är vanligt att folk försöker ansluta till än. Oftast är det folk som ovetande är infekterade av virus.

Om du ska "anmäla" honom går du till http://www.geektools.com/cgi-bin/proxy.cgi och skriver in hans ip. Förhoppningsvis hittar du en ABUSE-adress, dit skickar du ett mail med loggar etc.

Permalänk
Medlem

Jag antar att du inte har en hub utan en switch av något slag, det går ju att sniffa dom åxå genom att lura dom andra burkarna att du är gatewayen, men skit i det, dra dit en hub och koppla in alla på den, sen drar någon dit en linuxbuk och ser till att ha tcpdump och tcpshow sen:

tcpdumt -s 1518 -lenx -i eth0 (ta rätt interface här) tcp or udp | tcpshow -pp -cooked | more

Då får du ut allt som går av trafiken (med reservation om att det kanske går att få ut ännu mera info, på något sätt

Permalänk
Medlem

Hjälpte när jag bytte ip range.... Misstänker att någon hade lyckats sno en ip av mig =(

Visa signatur

EC - UGH