Syn Flood + DSL Down - Bitte Log interpretieren

[xplay888]

Ich habe Alice ADSL2 mit 16mbit, ein Win7 64bit OS und eine Vodafone Easybox 802.
Ab und an steht im Log folgendes:

04/20/2011  09:16:00 **SYN Flood** 80.108.211.239, 54314->> 192.168.2.100, 59725 (from PPPoE1 Inbound)
04/20/2011  09:15:59 **SYN Flood** 192.168.2.100, 57466->> 84.162.252.158, 51484 (from PPPoE1 Outbound)
04/20/2011  09:15:59 **SYN Flood** 192.168.2.100, 57465->> 80.64.63.103, 80 (from PPPoE1 Outbound)
04/20/2011  09:15:58 **SYN Flood** 78.34.184.132, 57651->> 192.168.2.100, 59725 (from PPPoE1 Inbound)
04/20/2011  09:15:56 **SYN Flood** 192.168.2.100, 57464->> 79.208.168.231, 49222 (from PPPoE1 Outbound)
04/20/2011  09:15:55 **SYN Flood** 91.50.41.78, 58266->> 192.168.2.100, 59725 (from PPPoE1 Inbound)
04/20/2011  09:15:52 **SYN Flood** 79.227.211.177, 53214->> 192.168.2.100, 59725 (from PPPoE1 Inbound)
04/20/2011  09:15:52 **SYN Flood** 178.202.248.53, 52705->> 192.168.2.100, 59725 (from PPPoE1 Inbound)

bis 9:27 Uhr geht das ganze, dann folgt:

04/20/2011  19:52:11 If(PPPoE1) PPP connection ok !
04/20/2011  19:52:10 If(PPPoE1) get secondary DNS IP:213.191.92.82
04/20/2011  19:52:10 If(PPPoE1) get primary DNS IP:213.191.74.12
04/20/2011  19:52:10 If(PPPoE1) get IP:85.181.219.12
04/20/2011  19:52:10 If(PPPoE1) start PPP      
04/20/2011  19:52:10 If(PPPoE1) receive PADS   
04/20/2011  19:52:09 If(PPPoE1) send PADR      
04/20/2011  19:52:09 If(PPPoE1) receive PADO   
04/20/2011  19:52:09 If(PPPoE1) send PADI      
04/20/2011  19:52:09 If(PPPoE1) receive PADT   
04/20/2011  19:52:09 If(PPPoE1) PPP connection terminated by peer
04/20/2011  19:52:09 If(PPPoE1) stop           
04/20/2011  13:13:43 sending ACK to 192.168.2.100
04/20/2011  12:46:27 NTP Date/Time updated.    
04/20/2011  12:45:37 Get system time from NTP server:78.46.32.14.
04/20/2011  09:27:48 **SYN Flood** 192.168.2.100, 58193->> 93.195.100.

Ich habe sehr oft Verbindungsabbrüche, die aber nicht mit dem Syn Flood in Zusamenhang stehen zu scheinen.

04/21/2011  08:19:19 If(PPPoE1) PPP connection ok !
04/21/2011  08:19:18 If(PPPoE1) get secondary DNS IP:213.191.92.82
04/21/2011  08:19:18 If(PPPoE1) get primary DNS IP:213.191.74.12
04/21/2011  08:19:18 If(PPPoE1) get IP:85.180.185.120
04/21/2011  08:19:17 If(PPPoE1) start PPP      
04/21/2011  08:19:17 If(PPPoE1) receive PADS   
04/21/2011  08:19:17 If(PPPoE1) send PADR      
04/21/2011  08:19:17 If(PPPoE1) receive PADO   
04/21/2011  08:19:17 If(PPPoE1) send PADI      
04/21/2011  08:19:17 If(PPPoE1) Dial PPP       
04/21/2011  08:19:12 If(PPPoE1) send PADI      
04/21/2011  08:19:07 If(PPPoE1) send PADI      
04/21/2011  08:19:02 If(PPPoE1) send PADI      
04/21/2011  08:18:57 If(PPPoE1) send PADI      
04/21/2011  08:18:57 ADSL Media Up !           
04/21/2011  08:18:37 If(PPPoE1) stop           
04/21/2011  08:18:35 If(PPPoE1) stop PPP       
04/21/2011  08:18:32 ADSL Media Down !

Kann mir jemand bei einem oder beiden Problemen Helfen und den Log interpretieren, bitte?

 

[aLca]

Wieviel Leute hängen an dem Router?

 

[Rayman2200]

Also Syn Flood hat wie du schon sagst eher weniger mit deinem Problem zu tun.
Solche Einträge werden gerne durch P2P Tools erzeugt, z.B. BitTorrent.

- Jetzt wäre interessant wie lange du schon bei Alice bist.
- Seid wann die Probleme auftretten.
- Hast du die Abbrüche in bestimmten Zeitabschnitten. Von wann bis wann?
- Ist WLAN an, wenn ja welche Verschlüsselung.
- Wie mein Vorredner schon erwähnt, wieviele Leute nutzen die Verbindung.
- Hast du die Abbrüche sporadisch oder bei bestimmten Aktionen? Wie z.B. Downloads.
usw.

Mehr Infos wären super.

// EDIT
Schon mal gegoogelt?
http://www.google.de/search?sourceid=chrome&ie=UTF-8&q=ADSL+Media+Up+!

- Mal den Router Neustarten oder vom Strom nehmen

 

[MasterOfWar]

Kann daran liegen, das dein DNS Server zu langsam antwortet. Ich würde mal testweise einen anderen einstellen. (zb. den von google)

 

[xplay888]

Danke soweit. Den DNS wechsel ich (wenn man nicht MUSS, tut mans nicht direkt...).

Wieviel Leute hängen an dem Router?

Nur ich mit einem PC.

- Jetzt wäre interessant wie lange du schon bei Alice bist.

5 Jahre

- Seid wann die Probleme auftretten.

Seit ich die Easybox habe, davor hab ich DIREKT am Modem gehongen, ohne Router.

- Hast du die Abbrüche in bestimmten Zeitabschnitten. Von wann bis wann?

1-5 Mal am Tag immer Unterschiedlich. Also quasi zufällig. Hab kein Muster erkennen können.

- Ist WLAN an, wenn ja welche Verschlüsselung.

Aktuell ists aus (wpa2 natürlich)

- Hast du die Abbrüche sporadisch oder bei bestimmten Aktionen? Wie z.B. Downloads.
usw.

absolut sporadisch, auch wenn es keinen traffic gibt, sehe ich es manchmal in den logs der letzten nacht. "Media Down" bedeutet ja, dass etwas weg ist, wenn ich das nun richtig lese. Der Router kann dazu im Endeffekt nichts.

Schon mal gegoogelt?

ja sicher, aber nutzt nicht so wirklich etwas. ich hab das problem schon ne weile, aber mich eher damit abgefunden (bis vorhin).

Also Syn Flood hat wie du schon sagst eher weniger mit deinem Problem zu tun.
Solche Einträge werden gerne durch P2P Tools erzeugt, z.B. BitTorrent.

Okay, dann ist das geklärt, denn das nutze ich Beruflich. Danke. Hatte befürchtet, dass das ein Hinweis auf mich als Untoten (zombie) wäre.

 

[Rayman2200]

Ich hab mal für dich gegoogelt und über einen Beitrag rausgefunden, das es an einem defekten Router liegen kann. Ist natürlich ärgerlich. Versuch mal wieder direkt ohne Router dazwischen zu verbinden. Wenn das reibungslos über einen Tag klappt, hast ja den Störenfried.

Habe auch Alice und bei mir spinnt deren DNS Server öfters mal, sowas verursacht aber nicht wie bei dir komplette Disconnects sondern eher unschöne Fehlerseiten.

Vielleicht hast ja auch noch die Hardware von Alice rumliegen und könntest die ja auch mal anschließen.

 

[xplay888]

Ok, Dns ist mit mühe und not bei diesem Stück Schrott umgestellt worden.
09/29/2009 00:00:32 If(PPPoE1) get secondary DNS IP:213.191.92.82
09/29/2009 00:00:32 If(PPPoE1) get primary DNS IP:213.191.74.12

04/21/2011 21:58:25 If(PPPoE1) get secondary DNS IP:213.191.92.82
04/21/2011 21:58:25 If(PPPoE1) get primary DNS IP:213.191.74.12

Zeit er nach dem reboot an, aber 8888 ist es laut ipconfig. drecks ding
Ich werd das nun nochmal paar Tage intensiv beobachen. Für 30€ lohnt der Austausch fast nicht. Da kauf ich mir eher nen neuen Router bzw. lass es wie es ist.

Danke soweit!

edit: über google komm ich schon auf den thred hier...

 

[xplay888]

Torrent ist aus, aber dennoch massenhaft SYN FLOOD im log.
Ich versteh es nicht...

04/24/2011 19:25:37 **SYN Flood** 192.168.2.100, 63982->> 80.64.63.103, 80 (from PPPoE1 Outbound)
04/24/2011 19:25:36 **SYN Flood** 192.168.2.100, 63968->> 85.17.92.152, 80 (from PPPoE1 Outbound)
04/24/2011 19:25:36 **SYN Flood** 192.168.2.100, 63956->> 80.64.63.103, 80 (from PPPoE1 Outbound)
04/24/2011 19:25:35 **SYN Flood** 192.168.2.100, 63936->> 80.64.63.103, 80 (from PPPoE1 Outbound)
04/24/2011 19:25:34 **SYN Flood** 192.168.2.100, 63935->> 80.64.63.103, 80 (from PPPoE1 Outbound)
04/24/2011 19:25:23 **SYN Flood** 192.168.2.100, 63934->> 188.165.0.47, 80 (from PPPoE1 Outbound)
04/24/2011 19:25:06 **SYN Flood** 192.168.2.100, 63933->> 188.165.0.47, 80 (from PPPoE1 Outbound)
04/24/2011 19:25:03 **SYN Flood** 192.168.2.100, 63911->> 80.64.63.103, 80 (from PPPoE1 Outbound)

 

[rossi2k6]

...Zeit er nach dem reboot an, aber 8888 ist es laut ipconfig. drecks ding

Liegt daran, dass dir ipconfig nur die lokalen IP-Einstellungen auf deinem Rechner zeigt

Den primäre und sekundären DNS-Server auf der EasyBox setzt du in der Webconfig unter "Daten" - "DNS & DDNS"

 

[Stefan.W]

Servus,

ich denke wenn es am normalen Modem ohne Disconnects funktioniert wird es wahrscheinlich nicht an der Leitung liegen.

Ich tendiere auch ehr dazu, dass der Router defekt ist.

Euch brauch ich es sicherlich nicht zu sagen, dass es ein "Kreuz" ist wenn man sich ein wenig mit Computern auskennt. Jeder in der Verwandtschaft und Freundeskreis fragt einen immerzu die unmöglichsten Dinge.

Allerdings habe ich da auch schon ein paar solch mysteriöse Probleme erleben dürfen. Meist lag es an der Hardware.

Bei einem guten bekannten verliert der Router z. B. immer die Synchronisation wenn er angerufen wurde. (Router und Splitter getauscht)

Bei einem anderen, war das im Router integrierte Modem defekt und er hat genau wie du immer sporadische Abbrüche gehabt. (ADSL-Modem vor Router gehängt)

 

[xplay888]

Ich hab mich nun mal Informieren lassen über mögliche Angriffe. Per Mail geht das nicht über SSL, was natürlich als Fehler bei dem Schrott so nicht steht....
Ergebinis:

Dear User
Your router has detected and protected you against an attempt to gain access to your network. This may have been an attempted hacker intrusion, or perhaps just your Internet Service Provider doing routine network maintenance.
Most of these network probes are nothing to be worried about - these types of random probes should NOT be reported, but you may want to report repeated intrusions attempts. Save this email for comparison with future alert messages.
Your router Alert Information

Time: 05/01/2011, 01:17:05
Message: Smurf
Source: 213.162.137.0, 63366
Destination:192.168.2.100, 59725 (from PPPoE1 Inbound)


Visit the CERT web site to get more detailed information about the intruder - http://www.cert.org/
1. Type the message name into the search engine
2. Click the Go Button
3. Detailed network and administration information will be displayed

Okay... Nun mach SYN FLOOD auch einen Sinn.

Wiki Sagt:

Um eine Smurf-Attacke zu verhindern, muss man Hosts so konfigurieren, dass sie nicht auf Pings auf die Broadcast-Adresse antworten, und Router so konfigurieren, dass sie Pakete nicht weiterleiten, die an eine Broadcast-Adresse gerichtet sind.

Das verstehe ich nicht und da brache ich eine Erklärung was ich machen kann/soll.
Danke.

 

[Krik]

Dein Router ist schon richtig eingestellt, er blockiert ja bereits den Angreifer.
Merkwürdig ist allerdings die Adresse. 213.162.137.0 ist ein Netz, keine IP-Adresse eine Computers. Vermutlich werden die Pakete manipuliert.

Hast du eine statische oder bekommst du von deinem ISP immer eine neue dynamische IP-Adresse zugewiesen?

 

[xplay888]

er blockiert ja bereits den Angreifer.

Okay, gut. Das war mir nciht 100%ig klar.
Fraglich, wieso ich Opfer werde bzw. wieso das INBOUND steht.

Dynamisch krieg ich die IP, je nach dem wann mein ISP es will oder wenn das DSL "weg" ist.

 

[Krik]

Also geht das nicht speziell gegen dich sondern gegen ein ganzes (Sub-)Netz. Beobachte das mal noch eine Woche. Wenn das immer wieder auftritt und auch immer wieder von denselben IP-Adressen kommen, dann schreibe mal eine Mail an deinen ISP. Er sollte dann eigentlich Maßnahmen ergreifen.