Hoge MS binnen eigen netwerk

  • 20 januari 2015
  • 13 reacties
  • 979 keer bekeken

Badge
Voor de tweede keer in een korte periode heb ik last van hoge MS binnen mijn eigen netwerk. De eerste keer dat dit voor kwam was wanneer een kennis met zijn laptop op het netwerk zat. Maar zowel zijn laptop als mijn pc gaven geen rede tot problemen. Nu een aantal dagen verder gebeurt het weer, hoge MS en dit keer maar 1 pc op de kabel. De MS gaat van hoog naar laag steeds en heel even in de middag was het weer gewoon en nu niet meer. Al contact gehad met telfort via telefoon en ze zeggen dat er niks aan de hand is, toch vind ik dit vreemd om te horen wat het is nog steeds bezig in mijn netwerk. En ja ik ben al de basis dingen langs gelopen. Router reset en kabels. Toch hoor ik het graag als iemand meer weet

Op dit topic kun je niet reageren. Wil je iets toevoegen, start dan een nieuw topic.

13 reacties

Reputatie 8
Badge +16
Het probleem van xRobertB gaat hier verder.
Reputatie 8
Badge +16
Wat bedoel je met MS? Microsoft?

Of bedoel je de pingsnelheid?
Reputatie 1
Ik heb sinds afgelopen 2 dagen ook last van hoge latencies binnen mijn eigen netwerk zodra mijn modem met mijn router verbonden is. Met de kabel van Internet eruit is mijn netwerk stabiel <1ms en zodra de modem aangesloten wordt op de router schiet het hele netwerk plat.

Dit gebeurd op variërende momenten. Eergisteren heb ik van 18:00 tot 22:00 offline gezeten en vannacht ergens in de nacht tussen 01:00 en 06:00. Ik heb Wireshark erbij gehaald en zie dat er allerlei connecties tot stand worden gebracht ondanks dat alle apparatuur op mijn PC na uit staat terwijl de PC virus vrij is.

Mijn router wordt geflood met ARP requests door duizenden verschillende verbindingen waardoor mijn router er op een gegeven moment mee ophoud totdat de internet kabel eruit getrokken wordt. Opnieuw opstarten met internet kabel heeft geen zin want dan wordt de router zo weer opnieuw belaagd met ARP requests.

Ik zelf heb een glasvezel van telfort..

Aan topicstarter, ik ben wel enigzins benieuwd wat voor een router u gebruikt en of de tijden ongeveer overeenkomen met mijn tijden?
Badge
RobertB ik had gister tussen 12 en 4 problemen met mijn verbinding en ook tussen 6 en 10 in de avond. Ik zelf heb adsl en een Zyxel P-2812HNU-F1 modem
Badge +2
@Franzki,

Dank je voor het melden. Ik sluit dit topic.

Daphne
Reputatie 1
Zojuist ook om 19:00 weer problemen gehad.

Het waren trouwens geen ARP requests maar eindeloze DNS requests.
http://i.imgur.com/EJnv74G.png Screenshot voor de mensen bij Telfort

Dit terwijl alle apparatuur uit stond met uitzondering van mijn PC, welke Windows, mijn virus scanner en Wireshark op moment van opname had draaien.
Reputatie 8
Badge +16
Zit er wel een apparaat op je LAN met het IP-adres van de source?
Reputatie 1
Was er niet helemaal bij gisteren. Ja de 192.168.2.204 is mijn statische IP van mijn vaste computer.
Overigens omdat ik gefilterd had op DNS leek het net of mijn computer degene was die deze connecties steeds in stand bracht maar dat is niet het geval, het zijn namelijk replies op TCP requests van random IP addressen terwijl er (vrijwel) geen netwerk applicaties draaien.
Reputatie 8
Badge +16
Ik ga me dan toch al twee dingen afvragen:

Hoe komen deze requests op je LAN uit? Ik kan me niet voorstellen dat deze zomaar door een NAT-router komen zonder dat er poorten open zijn... hetzij door statische (handmatige) portforwards, hetzij door dynamisch geopende poorten doordat er verkeer van binnenuit geïnitieerd.

En dan is de tweede vraag... draait er misschien toch een bepaalde service op de vaste computer die dit verkeer veroorzaakt?

Kun je eens complete transacties sniffen? Dus van en naar je vaste computer?
Reputatie 1
Gisteren de firmware van mijn router/switch bijgewerkt, alles opnieuw ingesteld en vervolgens nog steeds last gehad van het probleem. Wat mij opviel was dat er steeds massaal requests werd uitgevoerd specifiek op poort 80 zoals hier te zien.
http://i.imgur.com/0DIaRUb.png

Er zijn geen services die op de achtergrond lopen, vanochtend om er zeker van te zijn dat de PC daadwerkelijk virus vrij was nog even extra een full scan doorgelopen en ook dat was allemaal in orde.

Wel heb ik voor een lange periode deze PC in een DMZ hebben staan wat op zich jarenlang goed gaat, maar voor het testen van het probleem de DMZ maar uitgezet. Tot zover vanaf 9 uur s'ochtends tot nu 14:47 loopt alles stabiel, maar kan nu nog geen definitief oordeel geven.

Misschien wel helemaal niet van toepassing in de situatie van jelle.poort, maar ik dacht aangezien de symptonen overeenkomen dat ik hier bij post.
Laat het anders even weten, dan zal ik gewoon mijn eigen topic starten van het probleem dat ik ervaar.
Reputatie 8
Badge +16
Hmmm..

Als je PC in de DMZ staat, dan hangt hij toch feitelijk direct aan het internet? Dan zou het me inderdaad niet verbazen dat er veel netwerkverkeer te zien is. Advies is om dan in elk geval een fatsoenlijke firewall te draaien zodat de PC niet gaat reageren op ongewenst binnenkomend verkeer.

Heb je trouwens in het verleden een webserver gedraaid op deze PC? Of ergens anders in je netwerk iets gedraaid dat naar poort 80 van de WAN-zijde je modem werd geforward?
Reputatie 1
Dat klopt, maar zoals ik al zei jarenlang is dit al het geval geweest en heb ik nooit duizenden requests in minder dan een minuut tijd meegemaakt. Nu staat er ook gewoon meerdere apparatuur in huis aan en alles werkt zoals het hoort. Alleen nu in dit geval zit mijn PC niet meer in de DMZ en heb ik enkele disabled port forwards daadwerkelijk maar verwijderd.

Ik maak ook gebruik van een firewall op de router en draai tevens ESET Smart Security (heeft een firewall functie) extra op mijn PC vanwege de DMZ.

Ik heb in het verleden een keer getest om te kijken of d.m.v. poort 80 een VPN sessie opgezet bij netwerken die vrijwel dichtgezet zaten behalve via poort 80 en die binnen mijn interne netwerk naar een andere poort laten verwijzen, maar deze forward is nu verwijderd. Dat is inmiddels al een beste tijd geleden, maar nee geen webserver.
Reputatie 1
Ik heb waarschijnlijk het probleem gevonden;

Dit is precies wat er gaande is, namelijk Adobe Flash heeft een aantal beveiligingsproblemen en die worden nu op grote schaal misbruikt. Verschillende typen routers zijn hierdoor van afstand te hacken ook al ben je zelf goed beveiligd.

http://kb.linksys.com/Linksys/ukp.aspx?pid=80&app=vw&vw=1&login=1&json=1&docid=56b6de2449fd497bb8d1354860f50b76_How_to_prevent_getting_The_Moon_malware.xml

Specifiek deze regel, welke overeenkomt met alles wat ik tot zover heb kunnen constateren.

The Moon malware bypasses authentication on the router by logging in without actually knowing the admin credentials. Once infected, the router starts flooding the network with ports 80 and 8080 outbound traffic, resulting in heavy data activity. This can be manifested as having unusually slow Internet connectivity on all devices.

Er wordt aangeraden Flash tijdelijk te verwijderen van alle apparatuur om Internet te behouden.