ComputerBase Menü
Aktuelles

Modem DoS't sich selbst?

D

d4maddin

Gast
Hallo,

seit einigen Tagen hab ich immer wieder für 1-2 Minuten Internetausfälle.
Nachdem ich mich zunächst über Vodafone aufgeregt habe, ging ich dem Problem auf den Grund.

In der Routerübersicht im Browser bekomme ich immer wieder folgende Fehler (die immer dann kommen, wenn das Internet kurzzeitig weg ist) :

DoS Attack UDP-Flooding IN=brlan0 OUT= PHYSIN=sw_1
MAC=...
SRC=..
DST=.. LEN=76
TOS=0x00 PREC=0x00 TTL=128 ID=22581
PROTO=UDP SPT=56467 DPT=53 LEN=56

sowie: Black Address List Detected: <WG-MAC=...>;<STA-MAC=...>;<IF=wlan1_0>

Die Mac-Adresse der DoS Attacke stimmt mit der vom Lan-Netzwerk auf der Router Statusseite überein.
Die Mac-Adresse, die scheinbar blacklisted ist (oder was das heißen soll), ist die vom WLAN 5GHz.

Ich habe schon einen Hardreset vom Modem gemacht, hat allerdings nichts gebracht.
Von Zeit zu Zeit ist das Internet immer wieder für kurze Zeit weg und dann treten diese Fehler auf.

Ich wäre sehr denkbar, wenn mir jemand hier weiterhelfen könnte.

Edit: Hab den Arris TG3442DE Router von Vodafone

LG
 
PROTO=UDP SPT=56467 DPT=53 LEN=56
-> DPT = Destination Port 53.
Port 53 UDP ist DNS https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Unter SRC müsste die IP stehen, von wo die Pakete kommen. Es sieht so aus, als ob von dieser IP viele DNS-Anfragen oder -pakete kommen und der Router das als DoS-Attacke wertet. DST müsste die IP sein, wo die Pakete hingeschickt wurden.
 
Zuletzt bearbeitet:
SRC ist die IP von meinem eigenen Computer, DST die IP mit dem ich mich mit dem Modem verbinde.
DoS Attack UDP-Flooding unter Kategorie Firewall seh ich im Modem auch sowohl mit IPv4 als auch 6 Adressen.
Bei IPv6 ist DST der DNS Server, bei IPv4 der DHCP Server

Kann man damit das Problem irgendwie eingrenzen?
 
Der Router ist ja dein Default-Gateway und tritt wahrscheinlich auch als dein DNS-Server auf. Auf deinem Computer in der Kommandozeile "ipconfig /all" machen und schauen was bei deinem von dir genutzten LAN- oder WLAN-Adapter als DNS-Server eingetragen ist. Da du die IP-Adresse von denem Router per DHCP bekommst, ist dort auch bei DNS-Server die IP-des Routers zu erwarten. Demzufolge schickt dein Rechner alle DNS-Anfragen an deinen Router was üblich und normal ist. Jetzt erzeugt eine Anwendung auf deinem Rechner viele DNS-Anfragen die alle an den Router gesendet werden, wodurch dort der DoS-Mechanismus getriggert wird und vermutlich deinen Rechner für kurze Zeit blockt.

Option A: versuchen rauszubekommen, welche Anwendung die DNS-Anfragen schickt, das ist aber nicht so einfach
Option B: schauen ob es neuere Routerfirmware gibt, wo der Anti-DoS-Mechanismus etwas intelligenter gestrickt ist,
Option C: prüfen, ob man den Anti-DoS-Mechanismus im Router deaktivieren kann, bei HomeRoutern macht das Feature eh kaum Sinn.
 
So wie es aussieht, knattert dir dein PC den Router mit DNS / DHCP Anfragen zu. Kann z.B. durch Malware oder einer defekten Netzwerkkarte ausgelöst werden.
 
Danke schonmal für die Antworten.

Also was ich bisher sagen kann: nachdem ich WLan ausgestellt habe, kam keine Fehlermeldung mehr.
Eingeloggt waren mein iPhone, Android Phone meiner Freundin und ihr Notebook.

Wäre es möglich dass es Malware ist?

Da zur Zeit nur mein PC per Lan angeschlossen ist, kann ich den ausschließen?
Heute und die Tage war es alle 15-30 min, jetzt seit knapp 2h nichts
 
Jedes WLAN Geraet einzeln testen. Fang mit dem PC, dann mit dem Notebook an. 😎
BFF
 
  • Gefällt mir
Reaktionen: lafi08
Ja das werde ich morgen machen.

Da mein PC per Lan das Problem nicht auslöst, schließe ich ihn als Fehlerquelle mal aus
 
Update: Das Problem mit der DoS Attacke tritt auch auf, wenn in den Routereinstellungen WLan aktiviert ist, aber kein Gerät verbunden ist.

Deutet das auf einen Routerdefekt hin?
 
Zwei Sachen kannst du noch versuchen.
1. live Linux auf einen Stick installieren und ohne Windows starten. Hast du so immer noch „dosattacken“ ist etwas mit dem Router schräg. Komplettresett machen.
2. sind nach dem Linux Test nichts mehr zu sehen, malwarebytes durchlaufen lassen und wenn nichts relevantes gefunden wird, Windows neu drauf.
 
Okay.

Ich fahre heut zurück in die Heimat, dort habe ich auch VF Kabel, allerdings mit einer Fritz Box.
Ich werde mir dort auch mal das Ereignisprotokoll ansehen
 
d4maddin schrieb:
Update: Das Problem mit der DoS Attacke tritt auch auf, wenn in den Routereinstellungen WLan aktiviert ist, aber kein Gerät verbunden ist.
Zum Vergrößern anklicken....

Was ich nicht verstehe, oben schreibst du das die SRC Adresse von deinem PC der über LAN angeschlossen ist. Wie kommst du jetzt auf WLAN? Wenn dem so ist dann geht das von deinem PC im LAN aus und da kann eine defekte Netzwerkkarte oder eben Malware Schuld sein. Ich hatte z.B. schon einige defekte Server LAN Karten, die genau so ein Verhalten gezeigt haben.
 
Ja ich weiß nicht mehr genau wie es dazu kam :D
Irgendjemand außerhalb des Forums sagte ich sollte das mal testen und dachte auch es geht. Mittlerweile kommt die DoS Attacke aber immer, mit und ohne WLan.

Gibt es eine Möglichkeit die Netzwerkkarte zu testen, ohne einen anderen Pc oder andere Netzwerkkarte?
 
Das Testen ist mit einem Netzwerk Sniffer wie Wireshark möglich. Aber ohne umfangreiche Netzwerkkenntnisse und fehlende Erfahrung in der Bedienung / Auswertung von Wireshark, fast unmöglich.
 
Zuletzt bearbeitet:
Hallo,

wenn auch etwas spät aber hier ein Update:
Ich war jetzt knapp 7 Wochen in der Heimat in der Wohnung.
Dort haben wir eine Fritz Box von Vodafone.

Wir haben 7 Wochen lang alle Geräte (Mehrere Handies, Notebook, PC) benutzt und es war wirklich alles in Ordnung, kein einziger Abbruch, Ereignisprotokoll der Fritz Box frei von Fehlern jeglicher Art, nichts.
Daher gehe ich mal davon aus, dass es weder die Netzwerkkarte ist, noch Malware auf irgendeinem Gerät

Soeben war auch ein Techniker von VF da. Die Thematik mit DoS und Udp Flooding hat ihn nicht interessiert.
Nach ab und anschrauben des Anschlussdose und aufdrehen des Verstärkers im Keller kam nur die Aussage, dass man es wohl das Kabel notfalls tauschen müsse, falls die Signalstärke immer noch nicht gut genug ist.

Aber ich glaube, dass eine geringe Signalstärke wohl kaum DoS-Attacken und UDP flooding im Router auslöst, oder?

LG
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Child
FritzBox 6590 Cable zum "Modem" degradieren - Setup
Antworten
7
Aufrufe
473
Child
Child
RidaWinggler
Verbindungsprobleme, SpeedhomeWifi Modem
Antworten
8
Aufrufe
295
norKoeri
N
C
LAN-Geschwindigkeit immer erst nach Modem-Neustart wieder voll
2
Antworten
20
Aufrufe
629
cartridge_case
cartridge_case
MikiSmart
DSL Modem via WLAN-Router auf LAN?
Antworten
11
Aufrufe
780
Incanus
Incanus
B
Website der Bank nicht aufrufbar - Modem oder Internet Provider?
Antworten
6
Aufrufe
483
conf_t
conf_t
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz