DoS von Defense Information Systems Agency

flops · 28. März 2006

Router Protokoll:

Tue, 2006-03-28 10:44:55 - UDP Packet - Source:7.12.12.16,13364 Destination:XXX.XXX.XXX.XXX,1034 - [DOS]
Tue, 2006-03-28 10:44:55 - UDP Packet - Source:7.12.12.16,13364 Destination:XXX.XXX.XXX.XXX,1035 - [DOS]
Tue, 2006-03-28 10:44:55 - UDP Packet - Source:7.12.12.16,13364 Destination:XXX.XXX.XXX.XXX,1025 - [DOS]
Tue, 2006-03-28 10:44:55 - UDP Packet - Source:7.12.12.16,13364 Destination:XXX.XXX.XXX.XXX,1027 - [DOS]
Tue, 2006-03-28 10:44:55 - UDP Packet - Source:7.12.12.16,13364 Destination:XXX.XXX.XXX.XXX,1028 - [DOS]

Wenn man für die IP eine Whois Abfrage macht, kommt folgendes:

Blacklist Status: Clear
Cached Whois: Cached today
Whois History: 12 records stored
Oldest: 2006-03-17
Newest: 2006-03-28
Record Type: IP Address
IP Location: United States United States - Ohio - Columbus - Dod Network Information Center
Reverse IP: No websites hosted using this IP address
Reverse DNS: not set
OrgName: DoD Network Information Center
OrgID: DNIC
Address: 3990 E. Broad Street
City: Columbus
StateProv: OH
PostalCode: 43218
Country: US

NetRange: 7.0.0.0 - 7.255.255.255
CIDR: 7.0.0.0/8
NetName: DISANET7
NetHandle: NET-7-0-0-0-1
Parent:
NetType: Direct Allocation
Comment: Defense Information Systems Agency
Comment: DISA /D3
Comment: 11440 Isaac Newton Square
Comment: Reston, VA 22090-5087 US
RegDate: 1997-11-24
Updated: 1998-09-26

RTechHandle: MIL-HSTMST-ARIN
RTechName: Network DoD
RTechPhone: +1-800-365-3642
RTechEmail: Whois Privacy and Spam Prevention by Whois Source

OrgTechHandle: MIL-HSTMST-ARIN
OrgTechName: Network DoD
OrgTechPhone: +1-800-365-3642
OrgTechEmail: Whois Privacy and Spam Prevention by Whois Source

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Muss ich jetzt Angst haben?

greetz, flops

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Anzeige

pubmarek · 28. März 2006

Haste mal ne Range von denen gescannt oder so?

Also der IP - Bereich steht auf meiner Blacklist. Ich denke mal du beziehst eine dynamische IP. Gibt also nur die Möglichkeit dass du mit deiner aktuellen IP bei denen was gemacht hast oder der Typ vor dir mit der IP hat Mist gebaut. Würd mir da aber keine Sorgen machen, einfach Finger von der Range ...

006.000.000.000 - 007.255.255.255

lassen und fertig.

flops · 28. März 2006

Danke erstmal...
Nein, habe die Range nie gescannt!
Steht ja auf der Blacklist...

Ja beziehe IP dynamisch.
Leider, kam das vorhin wieder, obwohl ich neu connectet habe --> sieht das nach Trojaner aus?

daedalus · 28. März 2006

wenns nen trojaner is, dann wärs unlogisch, weil warum sollte der dann noch deine ip DoSen? schliesslich hätte er ja dann über nen individuellen port zugang zum pc...

aber scan halt trotzdem mal deine kiste durch nach irgendwelchen eindringlingen... kannst ja mal hijacklog posten..

flops · 28. März 2006

Logfile of HijackThis v1.99.1
Scan saved at 21:09:16, on 28.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avscan.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\small\LOKALE~1\Temp\Rar$EX00.334\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\STARDOCK\OBJECT~1\WINDOW~1\wbsrv.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

pubmarek · 29. März 2006

kannst die logdatei doch unter hijackthis.de oder so auswerten lassen...hab ich jetzt aber mal getan und dabei wurde nur das als fraglich erkannt...

O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\STARDOCK\OBJECT~1\WINDOW~1\wbsrv.dll

was sagt denn dein netstat -n? Wieviele Rechner habt ihr hinterm Router?

U#S#A · 29. März 2006

lustig genau das selbe kam auch bei mir ...
zum glueck war ich uebers nachbars wlan drinne ^

flops · 29. März 2006

Einen Rechner...

Das:
WBSrv - C:\PROGRA~1\STARDOCK\OBJECT~1\WINDOW~1\wbsrv.dll

ist von Windowsblinds, dieses Programm mit dem man verschiedene Themes einstellen kann...
Habs jetzt mal vorsorglich entfernt, vielleicht hilft es ja...

netstat -n sagt nichts besonderes, nur:

Ich finds aber nicht lustig...

U#S#A · 29. März 2006

flops hat dein router dmz an ?

flops · 29. März 2006

Was ist dmz?

EDIT:

Wenn du das meinst:

DMZ-Standardserver

Durch die Angabe eines DMZ-Standardservers können Sie einen Computer oder Server einrichten, der für alle Benutzer im Internet für undefinierte Dienste zugänglich ist. Dabei sind einige Sicherheitsaspekte zu beachten. Tun Sie dies deshalb nur, wenn Sie gewillt sind, freien Zugriff zu riskieren. Wenn Sie keinen DMZ-Standardserver zuordnen, weist der Router alle eingehenden Dienstanforderungen zurück, die undefiniert sind. Dies kann ein Sicherheitsproblem darstellen. Sie sollten diese Option nur aktivieren, wenn Sie einen Grund dazu haben.

So definieren Sie einen Computer oder Server als DMZ-Server:

1. Klicken Sie auf das Kontrollkästchen DMZ-Standardserver.
2. Geben Sie die IP-Adresse für diesen Server ein.
3. Klicken Sie auf Anwenden.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Nein, das habe ich nicht aktiviert...

EDIT 2:

Was bringt dem "Angreifer" denn eigentlich ein DOS?

pubmarek · 29. März 2006

Wieso tippst du diese Frage nicht einfach mal bei Google ein, oder einfach nur DoS?

Beispielsweise: Wikipedia zu DoS

Wenn also nichts von innen nach außen geht, was denen deine IP verrät, sind die Tipps oder Möglichkeiten aus meinem ersten Posting zu Rate zu ziehen. Oder haste vielleicht doch Emule oder so laufen?

flops · 29. März 2006

Original von pubmarek
Wieso tippst du diese Frage nicht einfach mal bei Google ein, oder einfach nur DoS?

Beispielsweise: Wikipedia zu DoS

Danke für den Link, aber soweit war mir das schon klar.
Ich frage mich nur, was es der DISA (wenn es wirklich von ihr ausgeht) bringt, das bei mir zu machen?
Wollen sie meinen Rechner lahm legen?
Es sind ja nicht hunderte sondern nur vereinzelte...

Wenn also nichts von innen nach außen geht, was denen deine IP verrät, sind die Tipps oder Möglichkeiten aus meinem ersten Posting zu Rate zu ziehen.

Die da waren "nicht die Range scannen und keinen Scheiss bauen".
Dann stellt sich aber die Frage, wieso die "mich wieder finden" wenn ich neu connecte? Wäre ja schon ein sehr großer Zufall, wenn ich immer IPs von Leuten erwischen würde, die gerade "Scheiss" gebaut haben, oder?

Oder haste vielleicht doch Emule oder so laufen?

Nein, definitiv nicht. Alles was läuft is Antivir und DU-Meter...

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

pubmarek · 29. März 2006

Naja sagen wir mal, da gibt es so viele Möglichkeiten. Weswegen du einfach damit leben musst.
Wieviele Pakete bekommst du denn immer? Vielleicht sind die auch einfach so aufgebaut, dass deine Router - FW das als DoS wahrnimmt, obwohls keiner ist.
Es muss nichtmal, wenn man gewisse Gedanken weiter spinnt, wirklich diese Institution sein. Da kann auch einfach jemand mit dem du im ICQ oder so chattest sich n Spass erlauben und die Absender IP faken!

Ansonsten wenn du dir das nicht erklären kannst, wie die die IP von deinem Rechner kriegen weiß ich das auch nicht. Oder du laberst im ICQ über Filme und was weiß ich nicht alles und AOL gibt das weiter. Wer weiß wer weiß ....

flops · 29. März 2006

Sind nicht viele Pakete, so wie die 6 oder so, die ich gepostet hab...

Also muss ich mir nicht allzu große Sorgen machen?

Was meinst du damit?:

AOL?
Ich bin nicht bei AOL...
Und ist es gefährlich im ICQ über sowas zu labern?

pubmarek · 29. März 2006

Überprüf echt mal mit netstat -n die Verbindungen die du offen hast, wenn du all deine Standardprogramme benutzt.

Naja also bei 6 Paketen kann man nicht von DoS sprechen. Ich kenne deinen Router nicht, aber versuch deinen DoS - Filter mal anders einzustellen wie viele Pakete wirklich kommen.
Dann zum zweiten schau mal welche Dienste auf den Ports laufen vielleicht "scannen" die ja auch ganze Ranges und versuchen Programme zu erreichen, weswegen du anscheind auch nicht der einzige bist der diese Pakete bekommt.

Zumal UDP kein verbindungsorientertes Protokoll ist. D.H. die bekommen in der REgeln nix zurück von dem was Sie dir schicken, außer du hast etwas, was auf deren Pakete antwortet...Antwortest du denen nicht, hast du nichts zu befürchten! Sorgen machen muss man sich glaube ich einfach nicht, wenn jemand aus den USA dich scannt, aber man sollte n bißchen mit Verstand auf solche Dinge achten.

So als nächstes. ICQ ist AOL, oder anders gesagt, die ICQ - Kommunikation läuft über AOL - Server und die nehmen sich in ihren AGB raus, jegliche Kommunikation über deren Server an Dritte (Behörden als Beispiel) weiter zu geben, zumal ja Time Warner zu AOL gehört. Also die Filmriege im eigenen Hause sitzt.

flops · 29. März 2006

Original von pubmarek
Überprüf echt mal mit netstat -n die Verbindungen die du offen hast, wenn du all deine Standardprogramme benutzt.

Kommt nur das hier:

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 127.0.0.1:1027 127.0.0.1:18350 HERGESTELLT
TCP 127.0.0.1:1044 127.0.0.1:1045 HERGESTELLT
TCP 127.0.0.1:1045 127.0.0.1:1044 HERGESTELLT
TCP 127.0.0.1:18350 127.0.0.1:1027 HERGESTELLT
TCP 192.168.0.2:1038 192.168.0.1:49152 SCHLIESSEN_WARTEN
TCP 192.168.0.2:1040 192.168.0.1:49152 SCHLIESSEN_WARTEN

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Naja also bei 6 Paketen kann man nicht von DoS sprechen. Ich kenne deinen Router nicht,

Ist ein Netgear DG834GB, wenn dir das hilft...

aber versuch deinen DoS - Filter mal anders einzustellen wie viele Pakete wirklich kommen.

Wo genau mache ich das, oder nach was muss ich gucken?

Dann zum zweiten schau mal welche Dienste auf den Ports laufen vielleicht "scannen" die ja auch ganze Ranges und versuchen Programme zu erreichen, weswegen du anscheind auch nicht der einzige bist der diese Pakete bekommt.

Wie bekomme ich das heraus? (Sorry, bin n ziemlicher Noob was das betrifft...)

Zumal UDP kein verbindungsorientertes Protokoll ist. D.H. die bekommen in der REgeln nix zurück von dem was Sie dir schicken, außer du hast etwas, was auf deren Pakete antwortet...Antwortest du denen nicht, hast du nichts zu befürchten! Sorgen machen muss man sich glaube ich einfach nicht, wenn jemand aus den USA dich scannt, aber man sollte n bißchen mit Verstand auf solche Dinge achten.

ok...

So als nächstes. ICQ ist AOL, oder anders gesagt, die ICQ - Kommunikation läuft über AOL - Server und die nehmen sich in ihren AGB raus, jegliche Kommunikation über deren Server an Dritte (Behörden als Beispiel) weiter zu geben, zumal ja Time Warner zu AOL gehört. Also die Filmriege im eigenen Hause sitzt.

Interessant, das zu wissen...

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Danke soweit schonmal für deine Bemühungen, hab' Dir mal nen 10er gegeben...

FrEeDoMe · 30. März 2006

Könnte es sein das dein Router das Paket einfach falsch als DDoS erkennt?
Obwohl dann wäre es immernoch unlogisch warum das von denen kommt....

pubmarek · 30. März 2006

Also, ich kenne mich mit dem Router nicht aus. Aber diese Aussage ist zum Beispiel recht interessant

"Sie erkennt und wehrt automatisch DoS-Attacken wie Ping of Death, SYN Flood, LAND
Attack und IP-Spoofing ab." (Seite 19 im Handbuch)

Also passend zu einer Vermutung von mir, da faked einer ne fremde IP und schickt dir n paar Pakete und der Router macht dann dicht und sagt es sei ne DOS - Warnung.

Als Beispiel mein Router blockiert erst ab 300 Paketen. Wie gesagt bei 6 Paketen ist das nämlich noch kein wirklicher DOS - Angriff. -> Wäre eine Erklärung wieso die IP des Institus und nur die 6 Pakete. Aber wo du deinen Router anders einstellst hab ich auf die schnelle nicht gefunden,musste wohl selbst bei Interesse nochmal nachgucken.

Such einfach mal bei Google Portlisten und schau da nach. Hast du eins dieser Programme?

Aber wie gesagt, ich glaub eher diese Institution hat dich ganz zufällig erwischt oder da faked jemand die IP der dich ärgern will. Mach dir weiter keine Sorgen, denn dein Router macht ja dicht, also no prob!

flops · 30. März 2006

Werde ich tun, desweiteren werde ich mich wohl mal mit dem Router Handbuch auseinander setzen..

Welche Progs, ICQ?

Danke mal für deine Hilfe, hab in nem anderen Board auch noch ne ähnlich "Entwarnung" bekommen, von dem her denke ich auch nicht, dass das was ernstes ist. Wie gesagt, wieso sollten die das machen?! Wenn sie mich busten wollten könnten sie das ja auch anderst

Vielen Dank nochmal für dein Hilfe, solche User braucht eine Community!

greetz, flops

daedalus · 30. März 2006

lol, vielleicht is mittlerweile ned mehr busten sondern DoSen zur aktiven Methode der urheberrechts-schergen geworden ^^ is vllt. ja effektiver..

naja, ich würd auch mal entwarnung sagen, mach dir keine sorgen ^^

flops · 30. März 2006

Jo, danke auch nochmal für deine Hilfe, hast nen 10er bekommen...

Nützliche Suchen

DoS von Defense Information Systems Agency

Videos zum Themenbereich