DoS Attacken im Ereignisprotokoll

[ss5]

Hallo zusammen.

Anbei die Protokolle:
1.
01/06/2022 08:47:56 DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=c0:94:35:8c:25:9c::17:10:9a:b4:10:08:eigene SRC=47.103.38.192 DST=eigene IPv4 LEN=60 TOS=0x00 PREC=0x00 TTL=42 ID=33032 DF PROTO=TCP SPT=46102 DPT=4118 WINDOW=29200 RES=0x00 SYN URGP=0 Firewall
2.
01/05/2022 21:05:17 DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=c0:94:35:8c:25:9c::17:10:9a:b4:10:08:eigene: SRC=51.158.156.78 DST=eigene IPv4 LEN=40 TOS=0x00 PREC=0x00 TTL=243 ID=0 DF PROTO=TCP SPT=21 DPT=21 WINDOW=64240 RES=0x00 SYN URGP=0 Firewall

Ip Recherche Ergebnis:
Fall 1 - chinesische domäne aliyun.com
Fall 2- online.net aus Holland

Mir ist bewusst das Port Scan Hacking und DDos Atacken Volksport geworden sind aber sowas noch nicht gehabt. Wie ist Das zu bewerten ? Entspricht einfach der Statistik oder doch im Haushalt was verseucht sein kann ? Wenn ich das richtig interpretiere, es ist Zugriff Versuch von außen.
Anbieter Vodafone. Router Arris VSt mit aktuelle Firmware ohne technischen Auffälligkeiten. Bis auf regionale Ausfälle und Wartungsarbeiten seit zwei Jahren keine Paketverluste oder Abbrüche gehabt. Im beiden o.g. Fällen aber kurze reconnects gehabt.

 

[chr1zZo]

Wenn du googelst, findest du heraus, dass das öfters bei Vodafone Kunden passiert

Willst du es indirekt vermeiden? Dann hau dir hinter dein Router z.B. ne pfSense mit GEOIP Blocker. Das schützt dich zu einem Maße, den Router nicht, der ist aber auch nicht Lebenswichtig ^^

Willst du wissen ob was nicht stimmt in deinem Netzwerk? Wireshark starten und mir ruhig ne 1GB Log schicken, ich schau mir das an

 

[madmax2010]

2. Ist ein massenhoster. Melde denen das und gut ist.

1. Habe ich auch schonmal gehört, kann es aber gerade nicht einordnen. - Edit. Urgh. Offensichtlich. Ist einer der Groessten Hoster die es so gibt .. Gleich hunter AWS, GCE und Azure

Ob im haushalt was verseucht ist kannst du am besten einschätzen. Hast du irgendwelche iot geräte die seit 3 Monaten keine Updates bekommen haben? (Glühbirnen, Kühlschrank, Sonos, Schloss, Lichtschalter, Nest, smart TV...) oder Android handies die nicht mehr gepatched werden? Was älteres als Windows 10?



Aber ganz ehrlich: den kompletten ipv4 space mit sowas zu versorgen dauert keine 60 Minuten. Dein Provider fängt sowas sauber ab oder eben halt nicht.

Vermutlich hat irgendwo ein 10 jähriger seinen ersten Server gemietet und Nmap entdeckt

 

[ss5]

Vermutlich hat irgendwo ein 10 jähriger seinen ersten Server gemietet und Nmap entdeck

Skriptkiddies war auch bei mir erster Gedanke

 

[wern001]

Da bin ich echt froh das ich einen LANCOM Router hab. Der sperrt so anfragen nach 50x für 48 H

 

[morduk]

Da bin ich echt froh das ich einen LANCOM Router hab. Der sperrt so anfragen nach 50x für 48 H

Mein Raspberry feuert diese Anfragen vorrangig ans SSH nach 1 Versuch auch für 8 Tage ins Nirvana.

Ich hatte diese Anfragen über Monate auch täglich zu dutzenden. Da ich mir sicher war, das es auf Grund der IP's und deren Locations (auch vorrangig China) von extern kommt und das Blocken bei mir nur die erste Stufe ist, habe ich mir keine weiteren Gedanken drüber gemacht und es laufen lassen. Es hat irgendwann aufgehört. Und wie schon gesagt wurde, wird irgendjemand den Port-Scan für sich entdeckt haben...

Das melden von den Abuses hab ich irgendwann aufgehört. Rückmeldung nahezu 0.

Morduk

 

[ss5]

Hast du irgendwelche iot geräte die seit 3 Monaten keine Updates bekommen haben? (Glühbirnen, Kühlschrank, Sonos, Schloss, Lichtschalter, Nest, smart TV...) oder Android handies die nicht mehr gepatched werden? Was älteres als Windows 10?

Nichts davon zutreffend, alle clients up to date. Aber Kinder die "viel traffic" generieren. Schaue mir mal die PCs an.
Danke für die sachliche Kommentare , es wurde einiges aufgeklärt.

 

[jabberwalky]

Bin jetzt auch ein DoS Attack betroffener von Vodafone. Das merkt man jetzt bei meinem anschluss immer mehr. Teilweise fliegt man bei Arbeiten im Home Office direkt raus, weil die DoS Attacken statt finden.

Anfangs dachte ich, die Leitung ist so schlecht geworden. Nur durch Zufall habe ich mal in meinem Vodafonerouter das Ereignisprotkoll angesehen und gemerkt das das enorm viele DoS Attacken stattinden. Zigmal am Tag.

Gibt es da was, was ich unternehmen kann? Komischerweise kommen die Attacken von gar icht so weit her. Sind direkt aus Deutschland. Sogar aus dem gleichen Bundesland.

Hat wer einen Idee was helfen könnte?

 

[Tom_123]

Hi,

du kannst den Router mal für ein paar Stunden z. B. Nachts vom Netz trennen. Dann sollte der DHCP Lease bei Vodafone ablaufen und du ne andere IP Adresse bekommen. Dann heißt es beobachten, ob die DoS Angriffe weg sind.

 

[Raijin]

gemerkt das das enorm viele DoS Attacken stattinden. Zigmal am Tag.

Gibt es da was, was ich unternehmen kann?

Wenn der Router dies als Attacke im Log protokolliert, hat er offenbar schon Maßnahmen getroffen, zB weil ein Rate-Limit zugeschlagen hat und die unerwünschten Verbindungsversuche geblockt werden. Wäre das nicht der Fall, würde deine Internetverbindung vollends lahmgelegt werden.

Im übrigen ist die Definition von "enorm viele" bzw. "zigmal am Tag" relativ. So ziemlich jede öffentliche IP ist täglich solchen Attacken ausgesetzt, gerne auch Bots, die mit Portscan und Bruteforce versuchen, zB schlecht gesicherte SSH-Server zu knacken. Gegenmaßnahmen beschränken sich weitestgehend auf starke Passwörter oder gar zertifikatsbasierte Authentifizierung. Im Falle von DoS sind es die erwähnten Rate-Limits, die die Effekte von (D)DoS zumindest abschwächen können. Letztendlich läuft es auf einen Wettlauf bei den Ressourcen an. (D)DoS-Attacken wie SYN flooding bombardieren den Server mit unvollständigen Verbindungsanfragen und für jede davon reserviert der Server Systemressourcen bis sie irgendwann aufgebraucht sind und der Server die Grätsche macht.

Komischerweise kommen die Attacken von gar icht so weit her. Sind direkt aus Deutschland. Sogar aus dem gleichen Bundesland.

Das muss nichts heißen. Sofern der Angreifer nicht vollends dämlich ist, wird er die Attacken nicht von seinem eigenen Anschluss aus starten, sondern von gekaperten oder gemieteten (zB anonym mit Bitcoin) gemieteten Servern und/oder via VPN verschleiert. Theoretisch kann es aber natürlich auch sein, dass zB der Ex deiner Freundin Ahnung von IT hat und dir ans Bein pinkeln will. Gezielte Angriffe auf private Anschlüsse sind aber extremst selten. Gefühlt 99,99999999999999% aller Angriffe aus dem www sind willkürlich und meistens das Werk von Bots. Die restlichen Attacken beschränken sich hingegen auf Ziele, bei denen ganz bewusst ein Ziel verfolgt wird, sei es Datendiebstahl oder das Lahmlegen des Ziels - beides Dinge, die bei privaten Anschlüssen eher selten einen nennenswerten Effekt erzielen, wenn nicht explizit eine persönliche Beziehung zum Opfer besteht..

 

[jabberwalky]

Wenn der Router dies als Attacke im Log protokolliert, hat er offenbar schon Maßnahmen getroffen

Also es werden aktuell "Warnings" ausgegeben.