Ereignisprotokoll voll mit "MGMT-RX" Einträgen und sporadische Internetausfälle.
mrch
Smart-Analyzer
Smart-Analyzer

Da es heute zum 5ten mal zu einem Internetausfall kam habe ich mir das Ereignisprotokoll des Routers angesehen und dabei sind folgende Einträge aufgefallen:

 

04/28/2021 00:17:00 MGMT-RX 
b0003c00341fe4dd19cadc729bbc92eb341fe4dd19cae005000001000000dd09001018020000120000 WLAN 04/28/2021 00:17:00 MGMT-RX
40000000ffffffffffff90cdb694d82fffffffffffffc0f30e48696572207374616e64206d65696e20574c414e204e616d65010402040b1632080c1218243048606c0301022d1a201aff0000000000000000000000000000dd09101802dd1e904c33201affdd09101802dd1e904c33201aff0000000000000000 WLAN 04/28/2021 00:17:00 MGMT-RX
40000000ffffffffffff90cdb694d82fffffffffffff20f4000e45696e574c414e2d526f75746572010402040b1632080c1218243048606c0301052d1a20001aff00000000000000000000000000000000000000000000dd09001018020000000000dd1e00904c3320001aff0000000000000000000000000000 WLAN

Das Ereignisprotokoll ist voll davon. Diese erscheinen quasi im Sekundentakt.

Da es sich um Hex Werte handelt habe ich diese interessehalber in ASCII Zeichen konvertiert.
So findet sich dann z.B. der Name meines WLANs in diesen Zeichenketten.

Neben dem Namen meines WLANs findet sich auch der Eintrag "roborock-vacuum-s4_miap7199". 

Hierbei scheint es sich um einen Saugroboter zu handeln?
Keine Ahnung in welchem Zusammenhang das stehen soll.

 

Firewall ist aktiviert.

Firmware-Version: 01.02.068.11.EURO.PC20

Produkt name: Vodafone Docsis 3.1

 

Gibt es hierzu bereits weitere Meldungen?

Ich konnte einen Thread von 2020 finden in dem die Meldung MGMT-RX ebenfalls erwähnt wird.
In diesem wird allerdings nicht näher darauf eingegangen.
Der Nutzer hatte sich ebenfalls zusätzlich über Verbindungsprobleme beklagt.
Daher vermute ich einen Zusammenhang.

7 Antworten 7
Tobias
Moderator:in
Moderator:in

Hey @mrch,

 

das klingt komisch, aber, hast Du im Eigenen W-Lan irgendwas eingebunden, was so benannt werden kann? Seit wann passiert das?

 

LG

 

Tobias

Bewertet hilfreiche Beiträge mit Likes!
mrch
Smart-Analyzer
Smart-Analyzer

Seit wann diese Einträge entstehen kann ich dir nicht sagen, da das Eventlog leider nich weit genug zurück reicht. Sehe immer nur die letzten paar Stunden bis zum letzten Neustart.
Der letzte Neustart des Routers war heute gegen 15 Uhr, wahrscheinlich erzwungen durch diese Einträge. Internetverbindungsabbrüche gibt es seit mind. Montag. Wahrscheinlich ausgelöst durch entsprechende Neustarts des Routers.

 

Könnte es sich hier um DDos Attacken handeln die von der internen Firewall nicht erkannt werden?
Oder um Versuche das WLAN Passwort zu erraten?

Wenn man sich die Einträge genauer ansieht, erkennt man, dass die Hex-Werte hochgezählt werden:

 

04/28/2021 15:16:29 [info][WiFi][ MGMT-RX 40000000ffffffffffffdc729bbc92ebffffffffffffe0970
04/28/2021 15:16:29 [info][WiFi][ MGMT-RX 40000000ffffffffffffdc729bbc92ebfffffffffffff0970
04/28/2021 15:16:29 [info][WiFi][ MGMT-RX 40000000ffffffffffffdc729bbc92ebffffffffffff00980
04/28/2021 15:16:29 [info][WiFi][ MGMT-RX 40000000ffffffffffffdc729bbc92ebffffffffffff10980
04/28/2021 15:16:29 [info][WiFi][ MGMT-RX 40000000ffffffffffffdc729bbc92ebffffffffffff20980
04/28/2021 15:16:30 [info][WiFi][ MGMT-RX 40000000ffffffffffffdc729bbc92ebffffffffffff30980
04/28/2021 15:16:30 [info][WiFi][ MGMT-RX 40000000ffffffffffffdc729bbc92ebffffffffffff40980
04/28/2021 15:16:30 [info][WiFi][ MGMT-RX 40000000ffffffffffffdc729bbc92ebffffffffffff50980
04/28/2021 15:16:30 [info][WiFi][ MGMT-RX 40000000ffffffffffffdc729bbc92ebffffffffffff60980
04/28/2021 15:16:30 [info][WiFi][ MGMT-RX 40000000ffffffffffffdc729bbc92ebffffffffffff70980
04/28/2021 15:16:30 [info][WiFi][ MGMT-RX 40000000ffffffffffffdc729bbc92ebffffffffffff80980

 

Ich wüsste nicht was dies mit meinen W-LAN Geräten zutun haben könnte.
Diese werden mit ihren jeweiligen MAC Adressen angezeigt.

 

Folgenden Eintrag kann ich ebenfalls nicht zuordnen: 

04/28/2021 15:16:26 [info][WiFi][ Configuration Changed : Set Device.WiFi.AccessPoint.2.X_CISCO_COM_KickAssocDevices to true from CLIENTTOOL,old value is : false,result: Set successfully.]

 

Ich schließe eine interne Quelle aus, da sich die Einträge in der Form auch in einem anderen Thread finden lassen:

https://forum.vodafone.de/t5/St%C3%B6rungsmeldungen-Internet-TV/Router-startete-ohne-erkennbaren-Gru...

 

https://forum.vodafone.de/t5/St%C3%B6rungsmeldungen-Internet-TV/Router-startete-ohne-erkennbaren-Gru...

 

Einem alten Eventlog ist zu entnehmen, dass ich zuvor regelmäßig von DDos Attacken geplagt war:

03/26/2021 01:59:39 [warning][Firewall][DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=f8:8b:37:52:10:9a:6d:21:08:00:45:00:00:2c src=113.108.126.254 DST=[MEINE_IP] LEN=44 TOS=0x00 PREC=0x00 TTL=100 ID=256 PROTO=TCP SPT=13869 DPT=8433 WINDOW=16384 RES=0x00 SYN URGP=0 ]
03/30/2021 21:11:48 [warning][Firewall][DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=f8:8b:37:52:10:9a:6d:21:08:00:45:00:00:3c src=167.114.166.135 DST=[MEINE_IP] LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=45005 DF PROTO=TCP SPT=45882 DPT=5554 WINDOW=29200 RES=0x00 SYN URGP=0 ]
04/03/2021 14:04:26 [warning][Firewall][DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=f8:8b:37:52:10:9a:6d:21:08:00:45:00:00:28 src=121.204.251.236 DST=[MEINE_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=97 ID=256 PROTO=TCP SPT=6000 DPT=1500 WINDOW=16384 RES=0x00 SYN URGP=0 ]
04/07/2021 02:53:32 [warning][Firewall][DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=f8:8b:37:52:10:9a:6d:21:08:00:45:00:00:28 src=89.179.141.211 DST=[MEINE_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=108 ID=256 PROTO=TCP SPT=6000 DPT=1432 WINDOW=16384 RES=0x00 SYN URGP=0 ]
04/11/2021 08:32:09 [warning][Firewall][DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=f8:8b:37:52:10:9a:6d:21:08:00:45:00:00:28 src=194.165.16.4 DST=[MEINE_IP] LEN=40 TOS=0x00 PREC=0x00 TTL=245 ID=123 PROTO=TCP SPT=65533 DPT=5577 WINDOW=1024 RES=0x00 SYN URGP=0 ]

Diese Einträge sind seit dem nicht mehr vorhanden. Stattdessen die MGMT-RX Einträge.

Hallo,

 

Ich habe auch seit ca. einer Woche das Problem von mehrfachen plötzlichen Internetausfällen die mit einem Routerrestart in 9/10 Fällen behoben werden können/konnten. Einer allerdings dauerte auch bereits länger an.

Nachdem am vergangenen Dienstag eine Wartung in meiner Region durchgeführt wurde - worauf ich auch am Telefon verwiesen wurde, gingen heute die Probleme wieder los.
Beim prüfen des Fehlerprotokolls des Routers sah ich vor den Ausfällen einige der MGMT-RX Einträge.
Diese sehen dabei wie von mrch bereits geschildert aus:

MGMT-RX 40000000ffffffffffff3010b30f2a97ffffffffffff201100124d617274696e20526f75746572204b696e67010882848b960c12182432043048606c2d1aef0103ffff000000000000000000000000000000000000000000.

Nach dem zweiten "f"-Block varrieren die dahinter erscheinenden Werte.
Auch bei mir werden diese Codes/Fehler einmalig von dem WiFi: Configuration Changed begleitet, welcher 1:1 dem Wert von mrch entspricht.
Hier einmal aufgelistet ein gesamter Ausschnitt des Protokolls zwischen jenen MGMT-RX Einträgen:

Mehr anzeigen
  • 04/29/2021 01:26:54 MGMT-RX 40000000ffffffffffff3010b30f2a97ffffffffffffe01000124d617274696e20526f75746572204b696e67010882848b960c12182432043048606c2d1aef0103ffff000000000000000000000000000000000000000000 
  • 04/29/2021 01:26:53 REASON-CODE-DESCR=UNSPECIFIED;REASON-CODE=1; WG-MAC=94:8F:CF:9B:56:50; STA-MAC=30:10:b3:0f:2a:97; IF=wlan1_0; SSID=Martin Router King; ConnectionState=clientDisassociated; WirelessMode=802.11n; LastTxPhyRate=270Mbps; LastRxPhyRate=130Mbps; MaxSupportedRate:300Mbps; EncryptMode=AES; AuthMode=WpaPsk; RSSI=-30dBm; Channel=5320MHz; Radio=5G; Bandwidth=40M; TxFailPkts=0; RetransPkts=63 
  • 04/29/2021 01:26:53 MGMT-RX c0003c00948fcf9b56503010b30f2a97948fcf9b565060100100
  • 04/29/2021 01:26:53 REASON-CODE-DESCR=PREV_AUTH_NOT_VALID;REASON-CODE=2; WG-MAC=94:8F:CF:9B:56:50; STA-MAC=30:10:b3:0f:2a:97; IF=wlan1_0; SSID=Martin Router King; ConnectionState=forcedDisassociatedAuth; WirelessMode=802.11n; LastTxPhyRate=270Mbps; LastRxPhyRate=300Mbps; MaxSupportedRate:300Mbps; EncryptMode=AES; AuthMode=WpaPsk; RSSI=-30dBm; Channel=5320MHz; Radio=5G; Bandwidth=40M; TxFailPkts=0; RetransPkts=63
  • 04/29/2021 01:26:53 MGMT-TX-STATUS stype=10 ok=1
  • 04/29/2021 01:26:53 Configuration Changed : Set Device.WiFi.AccessPoint.2.X_CISCO_COM_KickAssocDevices to true from CLIENTTOOL,old value is : false,result: Set successfully.
  • 04/29/2021 01:26:53 Configuration Changed : Set Device.WiFi.AccessPoint.1.X_CISCO_COM_KickAssocDevices to true from CLIENTTOOL,old value is : false,result: Set successfully.
  • 04/29/2021 01:26:53 MGMT-RX 40000000ffffffffffff3010b30f2a97ffffffffffff001000124d617274696e20526f75746572204b696e67010882848b960c12182432043048606c2d1aef0103ffff000000000000000000000000000000000000000000

Mich würde ebenfalls interessieren was genau das bedeutet und vor Allem was ich gegen die damit einhergehenden Ausfälle tun kann

mrch
Smart-Analyzer
Smart-Analyzer

Hallo Peak,

 

meine Ausfälle haben sich von exakt alle 3 Stunden mittlerweile auf exakt alle 2 Stunden gehäuft.

Kannst du eine ähnliche Regelmäßigkeit erkennen?

 

Zudem wurde meine Telefonnummer bis gestern noch als unregistriert angezeigt.

Gestern habe ich das Gerät auf Werkseinstellung zurückgesetzt.

Heute ist die Nummer wieder registriert, zudem sind zwei Telefonnummern hinzu gekommen.

 

Die MGMT-RX Meldungen erscheinen aktuell alle 2 Stunden um 6:31, 8:31, etc.

Ich erwarte den nächsten Ausfall des Gerätes daher um 10:31. 

 

Den Meldungen geht jedes mal ein Neustart des Gerätes einher.

Es wurden zuvor keine Routereinstellungen geändert und keine neuen WLAN Geräte hinzugefügt.

 

Zudem ist der MAC Filter fehlerhaft.

Wenn man diesen aktiviert, sperrt sich das Gerät selbst aus und meldet, dass die STA-MAC für LAN und jeweils 2,4 und 5 Ghz WLAN nicht im Filter enthalten seien.

Hallo mrch,

Ich hab direkt das Protokoll untersucht ob es weitere Ausfälle gab während ich nicht aktiv im Internet war, allerdings habe ich keine weiteren Einträge dazu stand jetzt im Ereignisprotokoll.

Ebenfalls hatte ich nie diese Regelmäßigkeit wie du. Es lässt sich auf täglich 1-2 bisher herunterbrechen aber das zu völlig wechselnenden Stunden, mal morgens und Abends, mal nur um 17 uhr,... gestern z.Bb war es zwei mal binnen ca. 90 Minuten zwischen ca. 0 Uhr und 01:30 Uhr, also ohne jegliches Muster.

 

Ob mein Router von selbst neu startet kann ich auch noch nicht sagen, da ich bisher beim Auftreten des Ereignisses immer selbst aktiv im Netz war und daher einen Neustart manuell direkt erzeugt habe.

 

Bei meinem Anschluss sind keine Telefonnummern dabei, daher kann ich hierzu leider nichts beisteuern.

mrch
Smart-Analyzer
Smart-Analyzer

Der erwartete Ausfall gegen 10:30 blieb glücklicherweise bisher aus.

 

Die "Zeit seit dem letztem Neustart" Statistik ist allerdings fehlerhaft.

Hier wird "Tage, 00 Stunden und 12 Minuten" angezeigt.

Es scheint als seien die Stunden zu den Minuten gerutscht.

Jana478
Administrator:in
Administrator:in

Hallo mrch,

 

gib uns bitte noch ein paar weitere Infos, damit wir uns einen ersten Überblick verschaffen können. Beantworte hierzu die Frage aus dem Beitrag Alles rund um Störungsmeldungen.

 

 

Viele Grüße

Jana

Bewertet hilfreiche Beiträge mit Likes!