SYN-Angriff

14/03/2008 - 21:27 von Torsten Schulz | Report spam
Hallo,

ich habe einen ISA Server 2006 auf einem Windows Server 2003 installiert.
Als Zugang zum Internet ist noch eine Astaro Firewall davor geschalten.

Der Internetzugang für die Clients aus dem internen Netzwerk funktioniert
und auch sonst ist an dem Server alles in Ordnung.
Seit ein paar Tagen bekomme ich am ISA Server die Fehlermeldung:
"ISA Server hat einen möglichen SYN-Angriff festgestellt und schützt das
Netzwerk nun entsprechend."

Im Ereignisprotokoll bekomme ich die Event ID 15009 und 15010 von der
Microsoft Firewall.

Ab diesem Zeitpunkt dauert das Anmelden an einem Client ca. 15 Minuten und
es ist kein sinnvolles Arbeiten mehr möglich.

Wenn ich den Firewall Dienst nun durchstarte funktioniert alles wieder
einwandfrei.

Nun meine Frage: Wie bekomme ich heraus von wo diese SYN Angriffe kommen?
Oder was macht der ISA Server genau wenn er das Netz jetzt "entsprechend
schützt"?

Ich habe jetzt auch schon die Optionen zur "Intrusion Detection"
abgeschalten. Der ISA Server meldet den SYN-Angriff aber weiterhin.

Vielen Dank für Eure Hilfe,

Torsten
 

Lesen sie die antworten

#1 Bilyana Dimova
09/06/2008 - 11:41 | Warnen spam
Hallo Torsten,

Von wo die SYN Angriffe kommen, kannst du mit der Kommandozeile "netstat"
sehen. Du kannst die verschiedenen "netstat" Optionen ueberpruefen. Ich
glaube, dass "netstat -bn" dir die beste Information geben wird ( welche IP,
auf welchem Port, die Status und der Prozes).
Ich hoffe, dass dir diese Information helfen wird.

Mfg
Bilyana

"Torsten Schulz" wrote in message
news:
Hallo,

ich habe einen ISA Server 2006 auf einem Windows Server 2003 installiert.
Als Zugang zum Internet ist noch eine Astaro Firewall davor geschalten.

Der Internetzugang für die Clients aus dem internen Netzwerk funktioniert
und auch sonst ist an dem Server alles in Ordnung.
Seit ein paar Tagen bekomme ich am ISA Server die Fehlermeldung:
"ISA Server hat einen möglichen SYN-Angriff festgestellt und schützt das
Netzwerk nun entsprechend."

Im Ereignisprotokoll bekomme ich die Event ID 15009 und 15010 von der
Microsoft Firewall.

Ab diesem Zeitpunkt dauert das Anmelden an einem Client ca. 15 Minuten und
es ist kein sinnvolles Arbeiten mehr möglich.

Wenn ich den Firewall Dienst nun durchstarte funktioniert alles wieder
einwandfrei.

Nun meine Frage: Wie bekomme ich heraus von wo diese SYN Angriffe kommen?
Oder was macht der ISA Server genau wenn er das Netz jetzt "entsprechend
schützt"?

Ich habe jetzt auch schon die Optionen zur "Intrusion Detection"
abgeschalten. Der ISA Server meldet den SYN-Angriff aber weiterhin.

Vielen Dank für Eure Hilfe,

Torsten

Ähnliche fragen