No entiendo estos SYN Flood

Acabo de revisar los logs del Livebox Next (Orange) y veo esto:

21/09/2015  22:40:32 sending DHCP ACK to 192.168.1.104
21/09/2015  22:28:59 192.168.1.11 login success
21/09/2015  22:00:28 **SYN Flood Stop**        
21/09/2015  22:00:25 **SYN Flood** 67.168.93.135, 60439->> 192.168.1.111, 16881 (from ATM1 Inbound)
21/09/2015  22:00:24 **SYN Flood** 78.150.114.109, 61923->> 192.168.1.111, 16881 (from ATM1 Inbound)
21/09/2015  22:00:23 **SYN Flood** 82.158.145.230, 51281->> 192.168.1.111, 16881 (from ATM1 Inbound)
21/09/2015  22:00:23 **SYN Flood** 1.64.164.40, 57116->> 192.168.1.111, 16881 (from ATM1 Inbound)
21/09/2015  22:00:22 **SYN Flood** 80.101.101.183, 36174->> 192.168.1.111, 16881 (from ATM1 Inbound)
21/09/2015  22:00:21 **SYN Flood** 85.244.166.211, 65504->> 192.168.1.111, 16881 (from ATM1 Inbound)
21/09/2015  22:00:21 **SYN Flood** 120.144.162.26, 45362->> 192.168.1.111, 16881 (from ATM1 Inbound)
21/09/2015  22:00:21 **SYN Flood** 115.70.103.22, 64763->> 192.168.1.111, 16881 (from ATM1 Inbound)
21/09/2015  22:00:20 **SYN Flood** 192.168.1.56, 50740->> 17.154.66.121, 443 (from ATM1 Outbound)
21/09/2015  22:00:19 **SYN Flood** 192.168.1.56, 50739->> 17.173.255.56, 443 (from ATM1 Outbound)
21/09/2015  21:42:09 **TCP-SYN with data** 192.168.1.56, 50549->> 17.252.11.246, 443 (from WLAN1 Inbound)
21/09/2015  21:24:07 sending DHCP ACK to 192.168.1.12
21/09/2015  21:24:07 sending DHCP OFFER to 192.168.1.12
21/09/2015  21:03:41 192.168.1.11 login success
21/09/2015  21:01:49 User from 192.168.1.11 timed out
21/09/2015  20:51:30 192.168.1.11 login success


Las dudas que tengo, ¿cómo se si los SYN Flood han tenido éxito o los ha parado el router?
Y por último, lo que no entiendo son los dos SYN Flood de tipo Outbound ya que la IP (192.168.1.56) es la de mi Iphone. ¿Está mi iphone haciendo ataques? No entiendo nada.....
 
Dudo mucho que nadie esté interesado en atacar tu red. Para que un SYN Flood pueda realmente hacer sufrir una red requiere de mucho mucho tráfico, incluso Routers doméstico pueden con una gran cantidad de tráfico que venga desde allí.

Por otro lado, tan sólo hay que mirar el puerto para ver que no es un SYN Flood real. ¿¿El puerto 16881?? Si lanzas un ataque de SYN Flood lo diriges a un puerto conocido que casi con toda seguridad esté abierto, o anteriormente analizas los puertos de la víctima, pero aun así el puerto 16881 no está siqueira registrado por la IANA.

Que quiere decir todo esto?? Pues que casi con toda seguridad (ya nos comentas luego) en el momento que tuviste esos registros tenías un programa tipo P2P en el PC 192.168.1.111, ya fuese un cliente eMule, un cliente Torrent...

Los programas P2P requieren para funcionar correctamente grandes cantidades de conexiones, algunas se quedan abiertas otras medio abiertas. Así que si el Router tiene unos parámetros "cortos" en cuanto al detector de SYN Flood se refiere, esta protección salta. Por ejemplo, imagínate que el Firewall salta la protección si detecta 5 conexiones/s en el mismo puerto e imagina que tu cliente P2P provoca 10 conex/s

Para un uso normal, en redes domésticas, por lo general los filtros tipo SYN Flood, Port Scanner, DoS... suelen dar más dolores de cabeza que beneficios. Esto no quiere decir para nada que esté en contra de estas protecciones, son esenciales a día de hoy!! Pero para un usuario doméstico dudo mucho que le sean alguna vez de utilidad, más que nada porque nadie está interesado en bloquear tu conexión a inet.

Sobre la segunda parte, que los origina tu teléfono como dices, más de lo mismo. En este caso son conexiones a puerto 443, es decir, páginas web/servicios webs a servidores (por lo general) TLS/SSL, El rango IP 17.0.0.0/8 pertenece a Apple, así que tu iPhone lo que estaba haciendo era comunicar datos a los servidores de Apple, ya fuesen datos de localización, estadísticos, iCloud... dependiendo de las conexiones que realizase en x segundos, de la cantidad de datos, de... podría haber de nuevo hecho saltar el Firewall del router. En este caso como el anterior hay dos culpables:

a) Los ajustes del router que hacen disparar las protecciones que tiene habilitada, podemos decir que el router tiene la culpa si usa unos límites muy restrictivos.

b) Los programas/servicios que son responsables de ese tráfico, podemos decir que dichos servicios/programas tienen la culpa si el número de conexiones y el tráfico que producen pueden ser realmente intenso hasta el punto de ser dañinos para una red.
 
Re:

Theliel dijo:
Dudo mucho que nadie esté interesado en atacar tu red. Para que un SYN Flood pueda realmente hacer sufrir una red requiere de mucho mucho tráfico, incluso Routers doméstico pueden con una gran cantidad de tráfico que venga desde allí.

Por otro lado, tan sólo hay que mirar el puerto para ver que no es un SYN Flood real. ¿¿El puerto 16881?? Si lanzas un ataque de SYN Flood lo diriges a un puerto conocido que casi con toda seguridad esté abierto, o anteriormente analizas los puertos de la víctima, pero aun así el puerto 16881 no está siqueira registrado por la IANA.

Que quiere decir todo esto?? Pues que casi con toda seguridad (ya nos comentas luego) en el momento que tuviste esos registros tenías un programa tipo P2P en el PC 192.168.1.111, ya fuese un cliente eMule, un cliente Torrent...

Los programas P2P requieren para funcionar correctamente grandes cantidades de conexiones, algunas se quedan abiertas otras medio abiertas. Así que si el Router tiene unos parámetros "cortos" en cuanto al detector de SYN Flood se refiere, esta protección salta. Por ejemplo, imagínate que el Firewall salta la protección si detecta 5 conexiones/s en el mismo puerto e imagina que tu cliente P2P provoca 10 conex/s

Para un uso normal, en redes domésticas, por lo general los filtros tipo SYN Flood, Port Scanner, DoS... suelen dar más dolores de cabeza que beneficios. Esto no quiere decir para nada que esté en contra de estas protecciones, son esenciales a día de hoy!! Pero para un usuario doméstico dudo mucho que le sean alguna vez de utilidad, más que nada porque nadie está interesado en bloquear tu conexión a inet.

Sobre la segunda parte, que los origina tu teléfono como dices, más de lo mismo. En este caso son conexiones a puerto 443, es decir, páginas web/servicios webs a servidores (por lo general) TLS/SSL, El rango IP 17.0.0.0/8 pertenece a Apple, así que tu iPhone lo que estaba haciendo era comunicar datos a los servidores de Apple, ya fuesen datos de localización, estadísticos, iCloud... dependiendo de las conexiones que realizase en x segundos, de la cantidad de datos, de... podría haber de nuevo hecho saltar el Firewall del router. En este caso como el anterior hay dos culpables:

a) Los ajustes del router que hacen disparar las protecciones que tiene habilitada, podemos decir que el router tiene la culpa si usa unos límites muy restrictivos.

b) Los programas/servicios que son responsables de ese tráfico, podemos decir que dichos servicios/programas tienen la culpa si el número de conexiones y el tráfico que producen pueden ser realmente intenso hasta el punto de ser dañinos para una red.

Soy tecnico en redes coin certificado CISCo CCNA y leerte por los foros me resulta una autentica gozada. Es como un repaso mejor explicado a todo lo ya aprendido. Chapeau.
 
Efectivamente, el puerto 16881 es el que usa un programa de torrents el cual corre en la 192.168.1.111 (NAS).

Como el Livebox no tiene mucha configuración que digamos y me temo que no puedo aumentar el número de conexiones para que no salten los avisos de SYN FLOOD, ¿esto puede estar penalizándome el rendimiento y que me vaya más lento, por ejemplo?

Me recomendaríais poner otro router neutro que haga las funciones de firewall delante del Livebox. Ganaría algo?

Por otro lado, las únicas opciones que me da de configuración el firewall del Livebox, son (todas las tengo activadas):
Intrusiones:
- Protección SPI y DoS
- RIP por defecto
- Descarta pings al interfaz WAN

Inspección Dinámica de Paquetes:
- Fragmentación de paquetes
- Conexión TCP
-Sesión UDP
-Servicio FTP
-Servicio H.323
-Servicio TFTP
 
Gracias tjuanma, un placer.

calvaroc, el rendimiento del router posiblemente no se vea afectado, lo que se estará viendo afectado es el rendimiento del cliente torrent, puesto que cada vez que la protección salta posiblemente bloquee durante X segundos cualquier conexión a dicho puerto o directamente las IPs que ha registrado, que es básicamente lo que hace la protección SYN Flood

Poner un Router neutro sólo por el Firewall en un entorno doméstico lo veo innecesario. Los FW integrados en casi cualquier router a día de hoy hace más o menos su función, si es por/para eso, no te lo recomendaría, sería un gasto un tanto excesivo. No digo que no sea lo ideal... que como ideal, sería que el Livebox permitiese acceso a la shell y poder configurar por iptables correctamente lo que quisieses.

Viendo las opciones que expones del SPI, me inclino a pensar que el SYN Flood se deshabilita (puedes probarlo) desmarcando Conexión TCP. Lo más rápido sería probarlo tú mismo a tu propio router, lanzando unas "cuantas" conexiones TCP SYN a tu router, y ver si las acepta o no... aunque también es cierto que el router podría aplicar reglas diferentes para la red local (Me encanta la herramienta hping para este tipo de cosas).

Ya nos cuentas como va la cosa.
 
Re: Re:

tjuanma dijo:
Soy tecnico en redes coin certificado CISCo CCNA y leerte por los foros me resulta una autentica gozada. Es como un repaso mejor explicado a todo lo ya aprendido. Chapeau.

¡¡¡Es que Theliel es un JUGÓN!!!
 
Venga señores, que me sacáis los colores y mi cumpleaños ya pasó.

Yo no nací sabiendo, y no tengo ningún don especial. Todos los días aprendo algo nuevo, ya sea por estar jugando con ello o ya sea gracias a tantas otras persona (directamente o indirectamente) que comparten sus conocimientos, te explican... dejan su granito de arena. De todos y de todo se aprende señores.

Un placer
 
Re:

Theliel dijo:
Venga señores, que me sacáis los colores y mi cumpleaños ya pasó.

Yo no nací sabiendo, y no tengo ningún don especial. Todos los días aprendo algo nuevo, ya sea por estar jugando con ello o ya sea gracias a tantas otras persona (directamente o indirectamente) que comparten sus conocimientos, te explican... dejan su granito de arena. De todos y de todo se aprende señores.

Un placer

Chico, cuando hay que criticar se critica y cuando hay que decir lo bueno de alguien se hace con el mismo ímpetu. A mí me parece que estás dejando por estos foros una serie de comentarios dignos de leer, porque aparte de estar hechos con un lenguaje fácil de entender se aprenden cosas nuevas no al alcance de cualquiera.

Lo dicho, ¡JUGÓN!
 
La opción de Conexión TCP no me deja desactivarla, sale un mensaje indicando que tiene que estar activa.
Así que lo que he desactivado es la opción de "Protección SPI y DoS"
 
Re: Re:

ccartola dijo:
Theliel dijo:
Venga señores, que me sacáis los colores y mi cumpleaños ya pasó.

Yo no nací sabiendo, y no tengo ningún don especial. Todos los días aprendo algo nuevo, ya sea por estar jugando con ello o ya sea gracias a tantas otras persona (directamente o indirectamente) que comparten sus conocimientos, te explican... dejan su granito de arena. De todos y de todo se aprende señores.

Un placer

Chico, cuando hay que criticar se critica y cuando hay que decir lo bueno de alguien se hace con el mismo ímpetu. A mí me parece que estás dejando por estos foros una serie de comentarios dignos de leer, porque aparte de estar hechos con un lenguaje fácil de entender se aprenden cosas nuevas no al alcance de cualquiera.

Lo dicho, ¡JUGÓN!

Yo no podria estar ams de acuerdo.
Desde hace varios dias que solo entro casi que para leer las perlitas de sabiduría de Theliel.
Un autentico placer tener un usuario así que ayuda.

Planteate un canal de Youtube, lo petarias y en eso yo podría ayudarte y mucho ;)
 
Arriba