Nach DDoS-Attacke neuer Netzwerkstandort unter Win7?

[KaraBenNemsi]

Guten Morgen liebe Community,

als ich heute Morgen meinen PC startete, kam direkt nach der Windowsanmeldung das Netzwerkfenster, in welchem man den Standort des Netzwerkes wählen soll (Heim-, Arbeitsplatz-, oder Öffentliches Netzwerk). Vorgeschlagener Name war "Netzwerk 2". Ich habe mir zu nächst verwundert die Augen gerieben, da ich hier zu Hause eigentlich immer im "Netzwerk" bin und auch keine Veränderung am Netzwerk über Nacht vorgenommen hatte.
Die Meldung kenne ich nur, wenn ich mit meinem PC bei Kumpels auf ner Lan bin und mich da quasi in ein "neues" Netzwerk einbinde.

Habe zu nächst keine Wahl getroffen und befinde mich momentan in einem Netzwerk des öffentlichen Typs. Der Rechner meiner Mutter, auch Win7, verhält sich mit der Netzwerkwahl genau so.

Habe mich dann erstmal in die easy.box (EB) eingeloggt (haben hier Vodafone als Provider) und siehe da, der Log verriet mir eine DDoS-Attacke:

08/30/2013 07:37:40 **Ping of Death/Tear Drop** 173.194.44.23, 80->> 192.168.2.101, 53546 (from PPPoE1 Inbound)
08/30/2013 07:35:48 sending ACK to 192.168.2.101
08/30/2013 07:06:03 **UDP Loop** 173.214.175.147, 46244->> 146.60.190.167, 19 (from PPPoE1 Inbound)
08/30/2013 02:19:24 NTP Date/Time updated.

Die beiden Ips konnte ich in die USA zurück verfolgen, mehr aber auch nicht.

Habe dann natürlich Google angeworfen und herausgefunden, dass diese Attacken wohl scheinbar von der EB geblockt worden sind und das System noch "sicher" sein sollte.

Als nächstes habe ich die EB neu verbunden, um zu nächst eine neue IP zu erhalten. Dann habe ich die Anmeldeinformationen geändert, also neuer Benutzername und Passwort und dann die Firmeware aktualisiert.
Das hat auch soweit alles geklappt, aber nach einem PC Neustart, ist die Netzwerkkennung immer noch "Netzwerk 2".

Mache ich mir jetzt zu viele Sorgen? Aber warum erkennt Win7 dann ein neues Netzwerk?
Ich habe bei Google dementsprechend nichts gefunden, evtl. weil ich nicht nach den Richtigen Begriffen gesucht habe und bis jetzt nur auf deutschen Seiten gesucht habe.

Solange ich mir nicht 100%ig sicher bin, dass das System nicht "sicher" ist, belasse ich es lieber beim Öffentlichen Netzwerk, wohl wissend, dass das keinen Schutz bietet.

Welche Tools könnten mir weiterhelfen, das Problem zu lösen? Hat jemand von euch schon ähnliches erlebt? Besteht da überhaupt ein Zusammenhang und wenn ja warum und wodurch?

Ich hoffe, einer von euch kann mir da weiterhelfen

Schönen Freitag!

Nachtrag:
Während ich diese Zeilen schrieb, gab es wieder 3 weitere DDoS-Attacken.
Die IP 173.194.113.160 verweist als Provider auf Google?
http://www.utrace.de/?query=173.194.113.160

 

[d4nY]

Mache ich mir jetzt zu viele Sorgen?

ja...solche anfragen sind ganz normal, das nennt man hintergrund-rauschen, da klappern irgendwelche bots irgendwelche ip-bereiche ab um zu sehen, ob die adresse antwortet oder ein port geöffnet ist.
normalerweise wird diese anfrage ignoriert und geblockt und selbst wenn nicht, ist dein netzwerk nach wie vor durch NAT geschützt...dh so ohne weiteres kann niemand von aussen rein

da mach dir also mal keine sorgen

dass windows ab und an mal ein bereits bekanntes netzwerk als neues netzwerk idenzifiziert kann auch mal vorkommen, eventuell nach nem stromausfall o.Ä. (hab ich auch schon desöfteren erlebt, ich war irgendwann mal bei netzwerk 7)

 

[KaraBenNemsi]

Danke für deine schnelle Antwort! Aber wenn ein Freitag Morgen so kirre beginnt und man selbst keine logische Antwort auf die Probleme findet, kann man halt mal schnell was paranoid werden.

Das diese DDos-Attacken quasi alltäglich sind, habe ich soweit verstanden und fühle mich nun auch generell sicherer, aber das gleichzeitig Windows mit dem Netzwerkgezicke kommt, hat sich mir noch nicht ganz erschlossen. Ich möchte da einen Zusammenhang ausschließen.

 

[abanev]

Keine Sorge das ist normal.
Windows kennt Netzwerk 1 bereits und dein aktuelles ist für ihn nicht Netzwerk 1, also schlägt es halt NR. 2 vor.

Die Anfragen an die EB sind auch normal, wie bereits erwähnt sind das wahrscheinlich Bots die gucken ob man das Netzwerk dahinter für dDos kapern kann.

Wenn aber die eb ne aktuelle FW hat und dein Rechner auch gepatcht ist (mit aktuellem Antivirus Programm und Firewall) dann bist du auf der sicheren Seite

 

[1668mib]

Wie schließt du aus den Logs auf eine DDoS-Attacke? oO
Das ist, wie wenn jemand mit einem Papierknäuel auf dich wirft und du es als Angriff mit einem Sturmgewehr bezeichnest...

Weil DDoS-Attacken sind sicher nicht alltäglich auf Privatrechner... das war auch keine.
Mit DDoS hat das rein gar nichts oder sogar noch weniger zu tun ...

 

[Wilhelm14]

Als Grund für ein Hochzählen des Netzwerks (1, 2, 3,...) kenne ich eigentlich nur die Änderung der MAC des Routers/APs/Switch. Warum das jetzt bei dir passiert und das gleich auf beiden Rechnern, keine Ahnung.

Du kannst das Netzwerk 2 wieder in Netzwerk umbenennen. Klicke im Netzwerk- und Freigabecenter auf das Symbol Haus, Bank, Büro. Es öffnet sich ein Fenster, wo du löschen, zusammenführen, umbenennen kannst.

 

[dup]

08/30/2013 07:37:40 **Ping of Death/Tear Drop** 173.194.44.23, 80->> 192.168.2.101, 53546 (from PPPoE1 Inbound)
08/30/2013 07:35:48 sending ACK to 192.168.2.101
08/30/2013 07:06:03 **UDP Loop** 173.214.175.147, 46244->> 146.60.190.167, 19 (from PPPoE1 Inbound)

Die erste IP gehört Google, die letzte Vodafone. Die zweite irgendeinem Hoster. (Von oben gelesen). Eine DDoS-Attacke ist das nicht.

Mache ich mir jetzt zu viele Sorgen?

Ja.

 

[KaraBenNemsi]

@1668mib: Weil bei meiner Suche im Internet alle Leute im Zusammenhang mit den Lognachrichten von einer solchen Attacke sprachen. Als was kann man das denn dann bezeichnen? Habe nichts dagegen, was dazu zu lernen, damit ich beim nächsten Mal besser damit umgehen kann und evtl auch anderen Leuten helfen kann.
Der PC ist updatemäßig auf dem neusten Stand und Firewall und Virenscanner installiert und auch up-to-date.

@Wilhelm14: Danke für die Info! Das mit der Änderung der MAC Adresse macht Sinn, also das Windows dann so reagiert. Wobei die MAC Adresse ja eigentlich nicht änderbar ist, oder? Aber scheinbar gibt sich sowas von Zeit zu Zeit bei Windows?

Wie gesagt, Freitag Morgen, das ist halt einfach keine Zeit, wo irgendein PC oder irgendwas anderes Mucken machen sollte

 

[d4nY]

Als was kann man das denn dann bezeichnen?

als reines abklopfen, aus dem grund habe ich auch statt "ddos" das wort "anfragen" benutzt

ddos wäre (wie das "dedicated" schon vermuten lässt) nämlich ganz speziell auf dich gerichtet, idR mit dem ziel, dass ein server überlastet wird...bringt bei dir also eher weniger

ändert aber nichts an der tatsache, dass bestimmte bots einfach adressbereiche durchstöbern, um zu sehen ob sich dahinter ein geöffneter port befindet. Damit lässt sich dann ggf. bestimmen, welche anwendung dahinter steht und ob man ein versuch startet, diese anzugreifen
so werden zB gerne ftp-server mit brute-force angegriffen, das lässt sich wunderbar in den logs beobachten, wenn man einen ftp-server startet und den port 21 freigibt

 

[1668mib]

"D"DoS heißt nicht dedicated sondern "Distributed"= Verteilt. "Distributed Denial of Service"-Angriff. Also viele Rechner versuchen durch viele Anfragen ein Ziel außer Gefecht zu setzen... viele Anfragen kann ich aber hier nicht erkennen. Es hat also schon mal rein gar nichts mit einer DoS-Attacke zu tun.

"Weil bei meiner Suche im Internet alle Leute im Zusammenhang mit den Lognachrichten von einer solchen Attacke sprachen."
alle Leute? Komisch. Hier keiner. Hast du denn deine Log-Nachrichten schon mal anderen gezeigt? Du hast keine Ahnung, wie du die Log-Nachrichten interpretieren sollst, aber denkst, du kannst sie mit anderen Log-Nachrichten vergleichen?

Und verschiedene Dinge können die selben Symptome hervorrufen... Wenn der Rechner nicht angeht, haben viele Leute das Problem, dass das Netzteil kaputt ist. Aber es kann auch nur daran liegen, dass die Steckdosenleise ausgeschaltet ist ...

"Das diese DDos-Attacken quasi alltäglich sind, habe ich soweit verstanden" zeigt, dass du gar nciht verstanden hast, was DDoS ist... aber du bleibst bei deiner Diagnose...

 

[d4nY]

eeek...stimmt

wobei ich finde "dedicated" würde vom sinn her auch passen ;D

 

[areiland]

...Die zweite irgendeinem Hoster. (Von oben gelesen)...

Die 192.168.2.101 gehört einem Hoster? Das ist eine Adresse im internen Netzwerk, der vom Router eine Bestätigung gesendet wurde. Mehr ist das nicht.

 

[1668mib]

Naja jede "sinnvolle" DoS-Attacke ist dedicated... ;-)
Aber ein verteilter Angriff ist halt schwieriger abzuwehren. Also lass eine Million Rechner genau eine Anfrage zum selben Zeitpunkt durchführen. Woher soll der Server wissen, welche der Anfragen ignoriert werden können und welche nicht?

Aber was ist denn bitte hier passiert? oO
Nichts...

Edit:
@areiland: Ich vermute, dup hat die 192.168.2.101 einfach übersprungen...
Ah, so hat er es unten auch beschrieben.

 

[dup]

Die 192.168.2.101 gehört einem Hoster? Das ist eine Adresse im internen Netzwerk, der vom Router eine Bestätigung gesendet wurde. Mehr ist das nicht.

Nein, die 173.214.175.147. Private Adressen habe ich selbstverständlich nicht mitgezählt.