DDos Angriff auf Port 80

[nex86]

Eine gute freundin von mir wird ständig von jemandem auf Port 80 ge ddosed,
Sie hat eine static IP auf Kabelverbindung was das problem ist und muss ständig den ISP kontaktieren um diese zu refreshen.

Ist es möglich den Eingang von Port 80 vom Router aus zu blockieren oder würde dann garnichts mehr ankommen?

Der Router ist übrigens ein TP-Link WDR4300 welcher soweit ich weis eine eigene Firewall hat.

 

[marzk]

Die Frage ist, warum wird überhaupt Traffic auf Port 80 angenommen?
Per default werden die Pakete auf 80 doch eh rejected.
Hat sie dort ein Webservice hinter zu laufen?
---
Ich würde OpenWrt auf den TP - Link installieren.

 

[Tiimati]

Wie kommen denn die Angreifer immer wieder an die IP?
Port 80 zu schließen, dürfte beim Internet Surfen Probleme machen.

 

[Mojo1987]

Wie kommt ihr überhaupt darauf das es sich um einen DDoS auf Port 80 handelt?

 

[nex86]

Wie kommt ihr überhaupt darauf das es sich um einen DDoS auf Port 80 handelt?

weil der Angreifer ein bild gepostet hat wie er das macht:



das war vor ein paar Tagen, er macht es jedoch immernoch.

 

[von Schnitzel]

Wie kommen denn die Angreifer immer wieder an die IP?

Die selbe Frage ging mir auch durch den Kopf.
Überprüf mal das System nach Vieren/Trojanern.

 

[Mojo1987]

Dann solltet ihr euch mal überlegen wie er jedes mal an die IP kommt (idr Skype / TS oder ähnliches).
Abgesehen davon, kennt ihr den Angreifer tatsächlich persönlich? Wenn er sich in DE befindet vllt. einfach damit mal zu den Herren von der Polizei gehen, das ist nämlich ne Straftat.

Vielleicht einfach den Anschluss hinter ein VPN Dienstleister setzen und alles da durch tunneln, dann dürfte auch Ruhe sein.

 

[Zerstoerer]

1. Ihr kennt den Angreifer?

2. Wenn deine Freundin ihre IP refresht, woher bekommt der Angreifer immer ihre IP? Läuft da ein Webdienst?

 

[rg88]

Port 80 zu schließen, dürfte beim Internet Surfen Probleme machen.

Wer sperrt schon ausgehende Ports? Eingehend hat der Port 80 gar nicht geöffnet zu sein, außer es handelt sich um einen Webserver.

 

[von Schnitzel]

Jetzt würde mich auch interessieren, wo euer Angreifer das Bild gepostet hat?

 

[Lawnmower]

Wenn da wirklich "ge ddosed" werde würde, wäre so ein kümmerlicher Internetanschluss ratzfatz weg.

Das sind einfach Anfragen von irgendwelchen Bots die auf der Suche sind nach offenen Ports (da gibts x Tausende die das Internet "durchstreifen") - gerade so Geräte wie IP Kameras hängen gerne ungesichert im Internet und werden dann nach Schwachstellen abgeklopft und ggf infiziert. Oder bekannte Schwachstellen bei Routern (ältere Fritzboxen Firmware, Dlink, etc).
Eingehende Ports einfach alle schliessen oder wenn es sein muss auf eine sehr hohe (und unbenutzte Port Nummer) wechseln (so ab 5 stellig) - dann passiert auch nichts. Wenn einer wirklich einen Angriff fahren würde (extrem unwahrscheinlich bei einem Consumer Anschluss), dann kannst Du als Endkunde sowiso nichts machen - da nützt auch OpenWRT nix.

 

[Nizakh]

Wenn diese Angriffe auftreten - wie äußert sich das dann? - Bricht die Internet-Verbindung komplett ab, können nur noch bestimmte Dienste genutzt werden oder startet der Router neu?

 

[marzk]

Wer sperrt schon ausgehende Ports? Eingehend hat der Port 80 gar nicht geöffnet zu sein, außer es handelt sich um einen Webserver.

+1
Port 80 ist eingehend nicht offen.
Weder in der TP - Link Stock Firmware noch in einer gescheiten Firmware ( OpenWrt .. : )

 

[nex86]

Die Verbindung ist komplett weg.
Weder Skype noch steam, noch discord noch webseiten lassen sich aufrufen..

Sie hat derzeit nur ihre mobile verbindung am handy.
Ja wir kennen den Angreifer und er hat zugegeben dass er die Angriffe tätigt.

 

[Mojo1987]

Es tut doch garnichts zur Sache ob der Port 80 offen ist oder nicht. Mit genug Anfragen bricht schlichtweg der Anschluss zusammen weil er das im Downstream nicht mehr handlen kann. Da hilfts auch nix wenn der Router die Pakete dropped, ankommen tun sie ja trotzdem.

Habt ihr denjenigen im Skype? Wenn ja, dann hat er die IP unter Umständen daher. Gibt wohl Programme die die IP hinter Usern offenlegen kann. Streamer hatten damit doch früher auch zu kämpfen. Muss allerdings nicht stimmen, das schon ne Weile her das das da en Thema war.

 

[Wanderer101]

Also ab zur Polizei wo ist das Problem???

 

[nex86]

Problem:
der angreifer lebt in einem andernen land, man kennt die genaue Adresse und den genauen nachnamen nicht.
man kennt sich halt nur aus einer internet community.

 

[Stratotanker]

Die Frage hier ist ob es ein DOS oder dDOS ist. Mit den Info aus dem Bild kann man wenig anfangen. Da der Angreifer lediglich die Anschlussleitung überlasten kann (drowning), da der Router auf Port 80 im Normalfall weder UDP noch TCP annimmt, bleibt für einen erfolgreichen Angriff nur dDOS übrig, da ein normaler Kunden-DSLer nicht genügend upload hat. (Außer jemand hat 100MBit upload womit man sehr viel Blödsinn machen).
Wie äußern sich die Angriffe? Wird das Netz langsam oder ist die Leitung ausgelastet?

Edit: Okay Auslang, damit nix mit unserer Polizei! Was ist das für eine Community? Sollte man sich überlegen, der fern zu bleiben. Und wie bereits mehrfach gefragt, wie ermittelt der Typ die IP? Bei direkter Kommunikation ist das kein Problem. 30 Sek Wireshark und fertig.

 

[rg88]

https://dejure.org/gesetze/StGB/303b.html

Bis zu 3 Jahre Café Viereck

Ergänzung (27. November 2016)

Problem:
der angreifer lebt in einem andernen land, man kennt die genaue Adresse und den genauen nachnamen nicht.
man kennt sich halt nur aus einer internet community.

Und die Frage nach: "Woher ist die IP-Adresse?" wurde immer noch nicht beantwortet

 

[nex86]

woher der angreifer die neuen IPs bekommt weis keiner.
Wir versuchen derzeit einen VPN aufzusetzen und schauen ob das hilft.