DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

[Nice.]

Hallo zusammen,

habe heute Morgen mal die System-Meldungen kontrolliert. Ich seit mehrere Tage das Problem das bei System-Meldungen der Text auftaucht.

DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

Habe jetzt den ganzen Router neu installiert das Problem kommt gleich wieder.

31.12.2019 11:03:45DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

31.12.2019 11:03:35WLAN wurde auf dem Speedport aktiviert (W006)

31.12.2019 11:03:23Der WLAN Kanal wurde aufgrund notwendiger Anpassungen zur Übertragungsverbesserung auf den Kanal 11 gewechselt (W018)

Was soll ich jetzt unternehmen?

Edit:

Modell Speedport W 724V

Firmware Version in Ihrem Gerät:09011603.06.006

 

[Hayda Ministral]

Ruhe bewahren. Schock bekämpfen. Stabile Seitenlage einnehmen.

Danach fragst Du Dich dann, welcher von Dir gehostete Service nun nicht mehr von außen erreichbar ist...
Da Dein Router die Attacken erkannt hat (erkannt zu haben glaubt) wird er die entsprechenden Pakete blocken so daß sie Dein internes Netz nicht erreichen. Den Router neu zu starten (oder auf andere Weise eine neue IP-Adresse anzufordern) war nicht die schlechteste Idee.

PS: Beim nächsten Mal dürften es ruhig ein..zwei Informationshäppchen mehr sein. Das Modell des Routers zum Beispiel.

 

[Nice.]

Habe die Daten oben eingetragen.

 

[Hayda Ministral]

Ok, danke. War aber mehr aufs nächste mal bezogen. Die aktuelle Frage hatte ich ja beantwortet, meiner Einschätzung nach brauchst Du Dir keine Sorgen machen. Diese SynFlood-Attacken sind für Dich eher lästig wie Kinder die Dich anrufen und dann auflegen. Eine Gefahr sind sie vermutlich für Dich nicht.

 

[Nice.]

Kurzes Update habe nochmal im Router nachgeschaut 20 Meldungen sind es heute schon. Habe das Gefühl das wird immer mehr. Habe vorher was im Internet anschauen wollen und ich hatte aufeinmal kein Internet.

 

[error]

Moin,
diese "Attacke" passiert tausendfach und automatisiert täglich. Das ist aber, wie oben schon geschrieben, harmlos.

Was dabei passiert ist folgendes. Ein "Angreifer" testet automatisiert über alle bekannten Ports (= festgelegte Kommunikationsnummern für Dienste im Internet, z.B. Port 80 für HTTP) ob sich auf diesen eine TCP-Verbindung aufbauen lässt. Der Verbindungsaufbau erfolgt über ein so genanntes "SYN"-Attribut in der Anfrage. Die Attacke, sofern man sie so nennen kann, macht nun nichts anderes als dir massenhaft auf diversen Ports diese SYN-Anfragen zu schicken. Der Router erkennt das und blockiert die Anfragen, erzeugt einen Eintrag und das war es dann.

Dass dein Internet dann auf einmal weg war, hat in der Regel einen anderen Grund.

gruß

 

[bluebox]

Die Erklärung ist so leider falsch.

Eine SYN Flood Attacke ist der Versuch, eine Verbindung zu einem Serverdienst auf dem Zielsystem aufzubauen, ohne dabei den 3. Schritt, das Zurücksenden des ACK Flags an den Server, auszuführen. Der Dienst wartet auf das Eintreffen des Flags und hält so lange die per SYN Flag angeforderte Verbindung offen. Und wenn das massenhaft ausgeführt wird, ist irgendwann der Dienst/Server lahmgelegt, da Ressource endlich vorhanden sind, nicht unendlich.

Und das ist auch der Sinn hinter SYN Flood Attacken, Serverdienste lahmlegen.

Erkennt ein Router/Server solche Attacken, schließt er einfach die offenen Verbindungen zum betreffenden Client und das war es, keine Auswirkungen für den Nutzer.