[win XP] SYN Flood e Microsoft.com

[Riverside]

Quote:

Originariamente inviato da bruno1968

........ e pare che le cose vadano un pochino meglio sui siti esteri, sempre male i siti nazionali.

Bruno, in attesa che Deg mi chiarisca in qualche maniera il quesito che ho posto, tu hai provato a verificare se quella marea di ping in uscita, si verifica anche con Emule chiuso?

[bruno1968]

Quote:

Originariamente inviato da Riverside

bene ..... anzi ..... di male in peggio ...... e si torna ad un punto morto o quasi ...... però ho sempre un piccolo dubbio che avevo, in qualche maniera, già sollevato:

@ Deg, qui l'esperto di Emule sei tu: è normale che il Client rilasci tutte quelle istanze in uscita? oppure è un problema di configurazione? non c'è maniera, in Emule, di nascondere l'I.P.?.
Altra cosa: in un mio post precedente, avevo chiesto a Bruno se usava Mirc ..... lui, giustamente, mi ha detto di no ma, se non sbaglio, all'interno del client di Emule, è implementato, anche MIrc: qualcuno può confermarmi la cosa?.
Se cosi fosse, potremmo aver girato attorno al problema per giorni: SysFlood e Smurf come ho già avuto modo di dire possono essere causati da attacchi portati da MIrc.
Dal log pubblicato da Bruno, vedo che una delle porte utilizzate da Emule è la 3672; generalmente, la porta utilizzata per fare uscire MIrc e connettersi ai server è la 6667 o, comunque, vanno dalla 6660 alla 6669.
Quindi, qualcosa non mi quadra, visto che presumo che, Emule in fase di connessione e download ed il MIrc implementato, girino di pari passo.
E visto che non uso e non ho mai usato Emule ma conosco bene MIrc, svelare l'arcano

River, qualcosa deve esserci perchè spesso mi arrivano dei messaggi, tutti uguali del tipo "download the best emule ever" da diversi utenti. Non ho mai fatto caso alla cosa, ma ora che mi fai presente questa ipotesi....forse ci siamo.
Tieni presente però che vado soggetto a questi problemi anche col mulo spento.

[Riverside]

Quote:

Originariamente inviato da bruno1968

Tieni presente però che vado soggetto a questi problemi anche col mulo spento.

Mi hai risposto giusto mentre te lo stavo chiedendo.
Come ho già detto, la mia è una ipotesi che avevo già posto in discussione diversi reply addietro ...... non usando Emule, non conosco come funziona ma, soprattutto, devo capire se il MIrc integrato si connette ad un qualsiasi server IRC (attenti a quando parlo di qualsiasi).
Se cosi fosse, viste le risultanze del log che hai pubblicato e visto che oramai l'infezione è stata debellata, il problema potrebbe nascere, anche da li.
Il fatto che poi il problema si replichi anche con Emule non in funzione, torna a farmi pensare ad una non corretta configurazione del Router.
Queste, sono le mie due ipotesi, altre, credo, nel corso della discussione, non sono emerse e, su queste, bisogna, almeno per ora, lavorare.

[bruno1968]

Quote:

Originariamente inviato da Riverside

Come non detto .... mi hai risposto giusto mentre te lo stavo chiedendo.
Come ho già detto, la mia è una ipotesi che avevo già posto in discussione diversi reply addietro ...... non usando Emule, non conosco come funziona ma, soprattutto, devo capire se il MIrc integrato si connette ad un qualsiasi server IRC (attenti a quando parlo di qualsiasi).
Se cosi fosse, viste le risultanze del log che hai pubblicato e visto che oramai l'infezione è stata debellata, il problema potrebbe nascere, effettivamente, da li.

Non ti so dire come e dove effettivamente il modulo mirc di emule si colleghi. Qui dovrebbe aiutarci qualcuno veramente pratico di emule, oppure dovrei fare una ricerca ma a questo punto se ne parla domani.
Lascio il campo a voi nottambuli

[xcdegasp]

Quote:

Originariamente inviato da Riverside

bene ..... anzi ..... di male in peggio ...... e si torna ad un punto morto o quasi ...... però ho sempre un piccolo dubbio che avevo, in qualche maniera, già sollevato:

@ Deg, qui l'esperto di Emule sei tu: è normale che il Client rilasci tutte quelle istanze in uscita? oppure è un problema di configurazione? non c'è maniera, in Emule, di nascondere l'I.P.?.
Altra cosa: in un mio post precedente, avevo chiesto a Bruno se usava Mirc ..... lui, giustamente, mi ha detto di no ma, se non sbaglio, all'interno del client di Emule, è implementato, anche MIrc: qualcuno può confermarmi la cosa?.
Se cosi fosse, potremmo aver girato attorno al problema per giorni: SysFlood e Smurf come ho già avuto modo di dire possono essere causati da attacchi portati da MIrc.
Dal log pubblicato da Bruno, vedo che una delle porte utilizzate da Emule è la 3672; generalmente, la porta utilizzata per fare uscire MIrc e connettersi ai server è la 6667 o, comunque, vanno dalla 6660 alla 6669.
Quindi, qualcosa non mi quadra, visto che presumo che, Emule in fase di connessione e download ed il MIrc implementato, girino di pari passo.
E visto che non uso e non ho mai usato Emule ma conosco bene MIrc, svelare l'arcano

nessun programma oscura in locale l'ip contattato semmai, ed esiste un cliennt p2p che sulla sua rete lo fa, non contatta direttamente il client voluto ma usa 2 o 3 client che facciano da ponte per nascondere il vero "mittente" e "destinatario".. ma in ogni caso l'ultimo ip e il primo ip sono visualizzati ed esistenti e realmente contattati.

il client ufficiale di emule e molte versioni "moddate", ossia sviluppate da altri team, possiedono un client molto scano di irc.
certo è che non è attivo di default, ha infatti bisogno dei click dell'utente per inizializzare la connessione e instaurare il collegamento a tale rete.

la porta 3672 e 3662 (devo ancora guardare l'ultimo log pubblicato da bruno) sono a naso le porte usate da emule che sono state modificate dall'utente.. di default emule usa la TCP 4662 e UDP 4672 e sono liberamente impostabili dall'untente da "opzioni -> connessione".

ma sul router sono state aperte le porte usate da emule??

[xcdegasp]

Quote:

Originariamente inviato da bruno1968

River, qualcosa deve esserci perchè spesso mi arrivano dei messaggi, tutti uguali del tipo "download the best emule ever" da diversi utenti. Non ho mai fatto caso alla cosa, ma ora che mi fai presente questa ipotesi....forse ci siamo.
Tieni presente però che vado soggetto a questi problemi anche col mulo spento.

sono messaggi normalissimi che ricevi da emule e puoi creare un filtro per evitarli...
si consiglia calorosamente lo studio di questa guida:
http://xcdegasp.altervista.org/guida_niubbi.html

per i messaggi privati si consiglia di impostare su "solo da amici" e filtrare le parole più comuni...
stasse vi trascrivo la stringa adatta per bloccare il 99,8% di spam

[IG0R]

piccole osservazioni:
1)cambiare zone alarm con un altro firewall?..forse la musica cambiarebbe..
2)utilizzare peer guardian visto l'uso di emule?
3)connettersi a server non spia?
4)eliminare lo spam di emule tramite filtri?

[bruno1968]

Quote:

Originariamente inviato da xcdegasp

nessun programma oscura in locale l'ip contattato semmai, ed esiste un cliennt p2p che sulla sua rete lo fa, non contatta direttamente il client voluto ma usa 2 o 3 client che facciano da ponte per nascondere il vero "mittente" e "destinatario".. ma in ogni caso l'ultimo ip e il primo ip sono visualizzati ed esistenti e realmente contattati.

il client ufficiale di emule e molte versioni "moddate", ossia sviluppate da altri team, possiedono un client molto scano di irc.
certo è che non è attivo di default, ha infatti bisogno dei click dell'utente per inizializzare la connessione e instaurare il collegamento a tale rete.

la porta 3672 e 3662 (devo ancora guardare l'ultimo log pubblicato da bruno) sono a naso le porte usate da emule che sono state modificate dall'utente.. di default emule usa la TCP 4662 e UDP 4672 e sono liberamente impostabili dall'untente da "opzioni -> connessione".

ma sul router sono state aperte le porte usate da emule??

Sul router sono APERTE le porte 4662 e 4672 utilizzando la funzione Virtual server del mio router. Il motivo è che, a router installato e configurato, avevo id basso con emule. Seguendo la guida di emule ho superato questo problema.

[Boia11]

scusa che gestore per l'adsl hai???

[bruno1968]

Quote:

Originariamente inviato da IG0R

piccole osservazioni:
1)cambiare zone alarm con un altro firewall?..forse la musica cambiarebbe..
2)utilizzare peer guardian visto l'uso di emule?
3)connettersi a server non spia?
4)eliminare lo spam di emule tramite filtri?

Tutto fatto, ho letto http://www.emulesecurity.net/guide/g...-ipfilter.html ed ho lavorato un pò, ora mi collego solo a server "sicuri".
Per il FWora uso Comodo. E anche peerguardian è dei nostri.

[bruno1968]

Quote:

Originariamente inviato da Boia11

scusa che gestore per l'adsl hai???

Telecom italia, alice 4 mega, in attesa del 20mega.

[Boia11]

e il router che usi è wi-fi???

[bruno1968]

Quote:

Originariamente inviato da Boia11

e il router che usi è wi-fi???

Sì, è un Philips SNA6500.

[xcdegasp]

Quote:

Originariamente inviato da bruno1968

Sul router sono APERTE le porte 4662 e 4672 utilizzando la funzione Virtual server del mio router. Il motivo è che, a router installato e configurato, avevo id basso con emule. Seguendo la guida di emule ho superato questo problema.

ma se poi usi porte differenti nel client emule è ovvio che dovrai cambiare anche quelle definite nel router

[bruno1968]

Quote:

Originariamente inviato da xcdegasp

ma se poi usi porte differenti nel client emule è ovvio che dovrai cambiare anche quelle definite nel router

Mi stai dicendo che il client usa una porta e io ne ho aperta una diversa nel router ? Puoi spiegarti meglio ?

[xcdegasp]

Quote:

Originariamente inviato da bruno1968

Mi stai dicendo che il client usa una porta e io ne ho aperta una diversa nel router ? Puoi spiegarti meglio ?

a quanto ho letto, non ho avuto tempo di guardare il log, riverside aveva compreso che emule agisse sulla porta 3672 da qui il sospetto che tu abbia definito emule in modo non preciso o differente dal router..
facciamo una cosa veloce e indolore, allega in un nuovo mes il file emule/config/preference.ini così lo controllo ti aggiungo il filtro antispam e ti elenco cosa hai settato così ci togliamo ogni dubbio

[bruno1968]

Ok, ecco le preferenze di emule http://www.fileup.itadib.com/downloa...R7vpeMFfdGRbg9

[Riverside]

Quote:

Originariamente inviato da xcdegasp

a quanto ho letto, non ho avuto tempo di guardare il log, riverside aveva compreso che emule agisse sulla porta 3672 da qui il sospetto che tu abbia definito emule in modo non preciso o differente dal router..

Personalmente non ho compreso nulla (o, forse tutto): effettivamente ho preso una cantonata io: la porta in uscita per Emule (basta controllare il log) è la 4672, ma ...... la domanda che ho posto è ben diversa: quale Server e quale porta in uscita utlizza il MIrc integrato in Emule?.
Il mio sospetto non è è legato ad una errata configurazione di Emule (e sono certo che si possa, anche nascondere l'I.P. in uscita) ma che, gli attacchi non ricevuti, ma portati verso l'esterno (giusto per chiarire la cosa, sono ping), a mio parere, possono dipendere dal MIrc integrato.
Se, poi, per svelare questa sorta di arcano e capire come funziona, effettivamente Emule, lo devo installare, me lo dite e lo faccio.
Ribadisco, so perfettamente, come funziona e quali sono le porte che utIlizza MIrc, non conosco (e sono contento di non saperlo) come funziona Emule ..... credo di aver posto un semplice quesito, mi piacerebbe (anche per imparare qualcosa di nuovo), rispetto a quanto ho chiesto, (visto il problema di Bruno) ottenere, se in grado, una risposta che non sia vaga.
E se ho posto questa domanda a te Deg, è semplicemente per il fatto che conosci, molto bene, come funziona Emule, mica per altro.

[xcdegasp]

l chat su irc la usi o per lo meno l'hai usata, cosa che non hai mai detto..
le porte di emule settate sono effettivamente quelle standard, ti ho aggiunto ilfiltro antispam, ti ho acceso le notifiche sui mes in arrivo (non ne dov resti ricevere al limite verifica che sia attivato solo per "amici" così non potrai riceverne), ti ho aumentato l'upload a 25 (era settato a 11 quanto basta per aver la ratio attiva e non scaricare), ti ho messo il download senza limite, ti ho aggiunto due voci nel filtro sui commenti ai files, ti ho disattivato la creazione dei log sugli IP bannati e filtrati tanto non ti serve a na mazza saperlo, d'ora innanzi ti mostrerà tra parenti tonde il valore della dispersione banda ossia l'overhead (banda usata per contattare fonti e tenere le fila e pingare e fare tracert), ti ho aumentato il buffer sui file a 2097152 (diminuisce l'accesso su disco), ti ho diminuito la coda da 5000 (valore default) a 3700 così non ti stagna, ti ho abilitato l'uso ai controlli avanzati,nti ho abilitato la visualizzazione del valore della percentuale del completamento dei file...
in allegato la versione che ti ho creato.

http://www.fileup.itadib.com/downloa...PYnM9015UpBnZr

cmq si è evidenziata la tua non curanza nel seguire le cose dette, ti avevo chiesto di seguire una guida e non lo hai fatto.
sincermente, non voglio apparire scortese, ma ho già troppe cose da fare che rincorrenrti

[xcdegasp]

Quote:

Originariamente inviato da Riverside

Personalmente non ho compreso nulla (o, forse tutto): effettivamente ho preso una cantonata io: la porta in uscita per Emule (basta controllare il log) è la 4672, ma ...... la domanda che ho posto è ben diversa: quale Server e quale porta in uscita utlizza il MIrc integrato in Emule?.
Il mio sospetto non è è legato ad una errata configurazione di Emule (e sono certo che si possa, anche nascondere l'I.P. in uscita) ma che, gli attacchi non ricevuti, ma portati verso l'esterno (giusto per chiarire la cosa, sono ping), a mio parere, possono dipendere dal MIrc integrato.
Se, poi, per svelare questa sorta di arcano e capire come funziona, effettivamente Emule, lo devo installare, me lo dite e lo faccio.
Ribadisco, so perfettamente, come funziona e quali sono le porte che utIlizza MIrc, non conosco (e sono contento di non saperlo) come funziona Emule ..... credo di aver posto un semplice quesito, mi piacerebbe (anche per imparare qualcosa di nuovo), rispetto a quanto ho chiesto, (visto il problema di Bruno) ottenere, se in grado, una risposta che non sia vaga.
E se ho posto questa domanda a te Deg, è semplicemente per il fatto che conosci, molto bene, come funziona Emule, mica per altro.

di default:
DefaultIRCServerNew=ircchat.emule-project.net