1

Frage

2

Antwort

3

Lösung

DoS Attack und extremer Netzwerklag // AR01.02.068.11_092320_711.PC20.10
Bronzebart
Smart-Analyzer
Smart-Analyzer

Hi zusammen,

 

ich habe seit ca. 1 Jahr immer wieder Internet und Netzwerkprobleme durch den Vodafone GigaRouter. Anscheinend wird der Router Angegriffen oder wertet Anfragen als Angriffe und macht entsprechend dicht. Das sorgt in letzter Konsequenz dafür, dass das Netzwerk (auch untereinander) einen starken Delay von bis zu 500ms hat und Streaming, Internet-TV und Gaming unmöglich ist. 

 

Mein Router wurde bereits 2 Mal ausgetauscht, jedes Mal wurde behauptet er wäre defekt aber wenige Wochen nach dem Tausch gings wieder los. Es ist sporadisch und unabhängig von der Uhrzeit. Die Angreifer stammen teilweise von registrierten Socks-5-Proxies oder VPN-Services. 

 

Um auzuschließen, dass ein Gerät in meinem Netzwerk die Angriffe anlockt, habe ich nach erhalt eines neuen Routers keinerlei Netzwerkgeräte für 24 Stunden angeschlossen und den Ereignislog danach eingesehen mit dem Ergebnis: Erneut Angriffe auf das Netzwerksegment während ich gar nicht mit dem Netzwerk verbunden war und ja ich habe überprüft, dass ich durch den Router eine neue IP-Adresse erhalten habe. Trenne ich den Router aus meinem Netzwerk und lasse alles über meinen Switch laufen, ist der Delay verschwunden.

 

Die Firmwareversion des Routers lautet: AR01.02.068.11_092320_711.PC20.10

Hardware-Typ & Version 7
 
Meine Vermutung ist, dass dieses Netzwerksegment auf diversen Spamlists steht und ich immer wieder eine verbrannte IPv4-Adresse erhalte. Entsprechend kommen die Probleme immer wieder.  Es kann nicht die Lösung sein immer wieder den Router zu trennen in der Hoffnung eine neue bessere IP-Adresse zu bekommen.
 
Ich bin kurz davor den Router aus dem Fenster zu werfen, mir einen Eigenen zu Kaufen und eine pfsense mit genügend Dampf dahinter zu setzen um den Angriffen Herr zu werden da der Support mit bisher nicht weitergeholfen hat. Im Gegenteil, ich musste zig mal hinterher telefonieren und habe immer leere Versprechungen erhalten. Man sagte mir, man würde sich darum kümmern, ein Update einspielen und ich würde eine andere IP-Adresse erhalten. Nach 48 Stunden war wie immer nichts davon umgesetzt und der nächste Supportmitarbeiter konnte von alldem natürlich nichts in seinem Programm finden und hat mir erneut einen neuen Router geschickt. Dieser kam glücklicherweise mit neuerer Firmware, was wie ich leider schnell erfahren musste, wieder nichts gebracht hat.
 
Also habe ich wieder das fröhliche IP-Adressen Roulette gespielt bis Ruhe im Log war. Vor 4 Tagen hatte sich der Router komplett verabschiedet. Kein DHCP mehr, kein Ping, nix. Nach dem Reset auf Werkseinstellungen ging er wieder, allerdings hat er sich dann natürlich auch wieder eine neue IP-Adresse gezogen...
 
Und. ich. habe. endgültig. die. Nase. voll! Was, Vodafone, soll ich jetzt tun damit ich endlich den Anschluss von Euch bekomme, den ich für viel Geld bezahle? Ich sehe es nicht ein, privat eine dedizierte Firewall zu betreiben, die die paar Anfragen rausfiltert die euren Router in die Knie zwingen. Könnte ich bitte einfach eine Fixe-IP-Adresse aus einem anderen Segment erhalten oder könnt ihr mir zumindest ein Tool an die Hand geben damit ich für euch die ganzen "problematischen" IP-Adressen blacklisten kann? 
 
Die letzte Einträge in meinem Ereignisprotokoll sind wie folgt:
DoS Attack - Smurf AttackIN=erouter0 OUT= MAC=a8:97:cd:0d:05:fc:00:17:10:9f:a2:83:08:00:45:00:00:28 src=177.86.32.134 DST=95.88.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=22 ID=61055 PROTO=ICMP TYPE=13 CODE=0
 
DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=a8:97:cd:0d:05:fc:00:17:10:9f:a2:83:08:00:45:00:00:28 src=89.248.165.66 DST=95.88.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=38742 PROTO=TCP SPT=56780 DPT=4949 WINDOW=1024 RES=0x00 SYN URGP=0
 
DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=a8:97:cd:0d:05:fc:00:17:10:9f:a2:83:08:00:45:00:00:3c src=85.214.95.50 DST=95.88.XXX.XXX LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=4980 DF PROTO=TCP SPT=57982 DPT=666 WINDOW=29200 RES=0x00 SYN URGP=0
 
DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=a8:97:cd:0d:05:fc:00:17:10:9f:a2:83:08:00:45:00:00:28 src=223.112.70.109 DST=95.88.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=106 ID=256 PROTO=TCP SPT=56151 DPT=11433 WINDOW=16384 RES=0x00 SYN URGP=0
3 Antworten 3
Claudia
Ex-Moderator:in
Ex-Moderator:in

Hallo Bronzebart,

 

handelt es sich um einen Anschluss bei (ehemals) Unitymedia oder bei Vodafone Kabel Deutschland? Bei letzterem gibt es die Feste IP zur Buchung bei Businessanschlüssen.

 

Viele Grüße,

Claudia

Bewertet hilfreiche Beiträge mit Likes!

Hallo,

 

es handelt sich um einen ehemaligen KabelDeutschland-Anschluss. Leider bringt mir diese Option nicht viel, da ich kein Business-Kunde bin und auch nicht werde.

Claudia
Ex-Moderator:in
Ex-Moderator:in

Hallo Bronzebart,

 

bei DoS-Attacken können wir nichts machen. Wir können Dein Anliegen an den Folgebereich weitergeben, vielleicht haben die Kollegen noch eine Idee. Versprechen kann ich aber nichts. Wenn Du es versuchen willst, sende Deine Kundennummer, die vollständige Adresse und das Geburtsdatum des Vertragsinhabers. Melde Dich wieder hier, wenn Du die Daten per PN geschickt hast.

 

Gruß,

Claudia

Bewertet hilfreiche Beiträge mit Likes!