DoS Attack UDP-Flooding
Narcu
Smart-Analyzer
Smart-Analyzer

Hallo,

 

Vertrag: Tv, Telefon und Kabel (100.000)

Router: Wlan-Router Vodafone Station, kein Leihgerät etc. im Besitz

Fehler: Im Ereignisprotokoll des Router folgende Meldung in unregelmäßigen und Wiederkehrenden Zyklus:

DoS Attack UDP-Flooding IN=brlan0 OUT= PHYSIN=sw_4 MAC=....

usw......

Verbindung zum Internet über Lan / Dlan

Browser: Wechselnd (Microsoft Edge / Google Chrome)

Betriebssystem: Windows 10

Durch das Problem entstehen regelmäßige Lags / Geschwindigkeitschwankungen, was sich zum Beispiel beim Spielen am PC bemerkbar macht.

Ich habe bereits telefonisch das Problem gemeldet (offenes Ticket ohne Rückmeldung bis jetzt). 

Ich habe bereits ein Router-Reset durchgeführt, Neugestartet, über Nacht ausgeschaltet und alle Kabel getrennt. jedoch keine Besserung.

Ich hoffe hier kann mir geholfen werden.

Lg

8 Antworten 8
ERFD
Moderator:in
Moderator:in

Hallo Narcu,

 

wenn dies eine tatsächliche Attacke wäre, dann käme diese nicht mal irgendwie sporadisch, sondern permanent bis das jeweilige System aufgibt. Wer weiß was das Modem da interpretiert. Wohin sollte denn das Paket gehen? Zur MAC des Modems oder zu einem Deiner Geräte. Wie genau äußern sich diese festgestellten Problem auf Deinen Anschluss (in Zahlen bitte).

 

Gruß Fred

Bewertet hilfreiche Beiträge mit Likes und Sternen!
Narcu
Smart-Analyzer
Smart-Analyzer

In Zahlen ausgedrückt kann ich nur soviel sagen, dass beim Spielen die Latenz enorm dann schwankt (Normal habe ich um die 30 MS danach immer 200-1000 MS) 

Die angezeigte Mac Adresse lässt sich weder meinen PC noch Zv zuordnen (einzige Geräte im Lan/Internet) derzeit.

 

Heute war ein Techniker bei mir, er verglich Messwerte mit denen von anderen Nutzern im Haus (Dbm oder so) und sah, dass bei meinem Anschluss die Werte stark schwanken 

es wurde an der Steckdose etwas gewechselt und am Verteiler im Keller geschaut. Router wurde nicht getauscht. 

Jedoch sind direkt heute Abend wieder die selben Probleme aufgetreten und es gibt wieder diesen DoS Eintrag im Protokoll...

Zusätzlich wurde heute im Wlan ein Benutzer "unknown" angezeigt, welcher auch angezeigt wurde nachdem ich alle Wlan Geräte ausgeschaltet hatte 

 

ERFD
Moderator:in
Moderator:in

Hallo Narcu,

 

ich leite den vermeintlichen Angriff mal an unseren Fachbereich weiter. Schickst Du mir bitte dafür Deine Kundennummer, Anschrift, Dein Geburtsdatum und den Auszug aus dem Log per Privatnachricht?

 

Schreibe hier kurz, wenn Du die Daten verschickt hast.

 

Gruß Fred

Bewertet hilfreiche Beiträge mit Likes und Sternen!
puaka
Netzwerkforscher
Netzwerkforscher

Ich habe ein ähnliches Problem. Ich habe davon jetzt schon häufiger gelesen und sehe auch, dass sich der Service damit beschäftigt.

Wenn es ein Fehler ist den man unter Umständen auch selbst beheben kann, dann wäre es hilfreich wenn man die Lösung in den entsprechenden Threads antwortet.

So wie es jetzt ist, sieht man nicht wie das ganze ausgeht. Leidglich ein "PM me" und danach Ruhe.

 

 

Narcu
Smart-Analyzer
Smart-Analyzer

Habe dir die erforderlichen Daten per Privatnachricht geschickt.

ERFD
Moderator:in
Moderator:in

Hallo Narcu,

 

es hat sich mittlerweile herausgestellt, dass die Attacken von Deinen Geräten verursacht werden. Laut den Kollegen aus der Technik ist hierfür eine App/Dienst verantwortlich. Welcher Dienst genau ist noch unklar. Fest steht, dass die Firewall des Modems mit dem letzten Update erweitert wurde und das Problem seit dem sichtbar ist. Bedeutet, eines Deiner Geräte verursacht so viele Anfragen beim Modem, das dieses kurzzeitig die Verbindung zu diesem Gerät kappt. Ist sozusagen eine Sicherheitsmaßnahme. Jetzt müsse man halt schauen welche App/Dienst dies sein kann.

 

Laut Deinem Log kommen die Anfragen von SRC=192.168.0.9 (das ist die Quelle) zu DST=192.168.0.1 (dies ist der Router). Anfragen kommen über WLAN. Müsstest jetzt halt schauen welches Gerät im Haushalt diese IP in dem Moment hat.

 

Gruß Fred

Bewertet hilfreiche Beiträge mit Likes und Sternen!

Ich grätsch hier mal rein und sage das ich dies nicht so ganz glauben kann und will.

 

Mein router sagt aktuell das abwechseln beide PC's im Haushalt und ab und an eine Android gerät dieses Flooding verursachen.

 

Ich habe sogar zur fraglichen logzeit (als mein haupt PC mal wieder am flooden war) einen Wireshark mitschnitt. Dort sind es gerade einmal knapp 7000 UDP pakete. Für einen Zeitraum von 15min. 1400 davon DNS.

Eher lächerlich wenig und außerdem absolut normale Mengen mMn.

Sonst noch einmal verweis auf meinen Thread, wo bisher ja keine große reaktion kam: https://forum.vodafone.de/t5/Störungsmeldungen-Internet-TV/Packetverlust-seit-ca-23-10/m-p/2045544#M...

ERFD
Moderator:in
Moderator:in

Hallo Sirius-Bo,

 

die Vermutung ist, dass die Anzahl der Paket bei der Konfiguration zu niedrig angesetzt wurde (ein Programmierfehler). Die Funktion der Firewall kam ja erst mit dem letzten Update. Wir sind noch in der Analyse. Aber es wird wohl in diese Richtung gehen, wie Du bereits festgestellt hast.

 

Gruß Fred

Bewertet hilfreiche Beiträge mit Likes und Sternen!