Hallo @BrunkUtlaf ,

der Netz-Anteil (die ersten 64 Bits der Adresse) sind identisch... sind das beides Adressen aus deinem eigenen /62-Subnetz? Das würde bedeuten, die Attacke kommt aus deinem Heimnetz.

Oder ist die 2a02:8109:8680:283c:2e58:4fff:fe77:46c6 die öffentliche IP deines Routers? Dann wäre die Quelle ein anderer Router bzw. ein anderes Modem in deiner Nähe. Oder evtl. umgekehrt?

DPT=53 (destination port 53) sind DNS-Anfragen für die Namensauflösung von Namen in IP-Adressen... die im eigenen Heimnetz eigentlich über die link-lokale Adresse mit fe80 am Anfang laufen.

Was das Ziel so einer Flooding-Attacke auf eine öffentliche IP eine Heimrouters ist, erschließt sich mir noch nicht so ganz.

Grüße,

SIGSEGV2

@SIGSEGV2  Danke für deine Antwort. Ich kan dem leider nicht ganz folgen. Was empfiehst du hier? 

Ich habe mich in der Router Oberfläche Umgeschaut und habe im WLAN ein gerät entdeckt welches als "unknown" angegeben wird. Ich kann mir jetzt erstmal nicht vorstellen was das seien könnte (Mein Galaxy S10 und die GIGA TV Box werden separat aufgelistet.) Dieses Gerät habe ich erstmals blockiert. 

Zitat von dir: "Oder ist die 2a02:8109:8680:283c:2e58:4fff:fe77:46c6 die öffentliche IP deines Routers?" https://www.wieistmeineip.de/ sagt nein. 

Trotzdem kann ich mir nicht vorstellen wie es aus meinem Netzwerk kommen kann (Einen Kompletten Virenscan habe ich gestern ausgeführt) 

Den DDoS Angriff in dem Videospiel kann ich aber soweit bestätigen da dies viele andere Nutzer bestätigt haben. Der Ablauf war bei vielen gleich. 

Weißt du zufällig wie oft Vodafone die IP Adresse wechselt? 

Hi @BrunkUtlaf ,

in der Router-Oberfläche müsste irgendwo die öffentliche IPv6-Adresse deines Routers selbst stehen.

Das ist im Normalfall nicht die, die du bei wieistmeineip siehst, weil dort die IPv6 deines Endgeräts angezeigt wird, mit der du die Seite aufrufst, also eine aus deinem Netz-Prefix, die der Router dem Endgerät zugewiesen hat.

Darüber oder darunter müsste im Router auch dieses Adress-Prefix mit /62 stehen, aus dem dein Router Adressen an die angemeldeten Geräte vergibt.

Die Frage ist ob eine der beiden Adressen aus der Firewall-Warnung mit der öffentlichen IPv6 des Routers übereinstimmt... oder eben beide aus deinem eigenen Netz-Prefix sind (also grob die erste Hälfte der Adresse ist identisch zum Prefix, der Rest hängt vom Endgerät ab).

Bzgl. Adresswechsel bei IPv6: Meiner Erfahrung nach ändert sich die IPv6 des Routers und auch das Prefix nicht, sondern ist fest diesem Modem/Router (über die CM MAC) zugewiesen.

Bei einem Austausch des Modems würde sich also beides ändern. Ob es auch andere Möglichkeiten für eine manuelle Änderung über den Support gibt, weiß ich nicht.

Ob in so einem Fall ein (kostenloser) Modemtausch möglich ist, müsste ein Moderator beantworten können.

Grüße,

 SIGSEGV2

@SIGSEGV2  Danke dir erneut für die Antwort. 

In meinem Router gibt es die "IPv6 Präfix Delegation" Die Adresse (vor dem /62) stimmt in der Tat mit der Adresse aus dem Log überein. 

Sonst gibt es in der Routerübersicht das hier: "IPv6 Adresse" die ist dann auch genau so lang wie aus dem Log aber wird nach dem "2a02:8109:" anders. 

Kannst du daraus einen Rückschluss ziehen? 

Ich danke dir ganz herzlich, dass du dir die Zeit dafür nimmst. 

Man müsste das genaue Format der Firewall-Log-Meldungen kennen, aber es sieht zumindest so aus, als ob diese DNS-Flooding-Anfragen aus deinem eigenen Netz (also nicht von außerhalb) gekommen sind.

Es kann zwar sein, dass sie irgendwie von außen "getriggert" werden, aber das, was die Firewall hier geloggt hat, ist "interner Traffic" zwischen Geräten im Heimnetz "hinter" dem Router (bzw. dem Router selbst).

Man kann aber auch mal grob raten, was was bedeutet:

- IN=brlan0 --> die Schnittstelle, auf der das Paket empfangen wurde

- OUT= PHYSIN=sw_1 --> die Schnittstelle, wo es hingehen sollte, was "sw_1" bedeutet, kann ich nicht sagen, evtl. eine Bezeichnung für den internen Switch des Routers

- MAC=2c:58:4f:77:46:c6:1c:1b:0d:e1:e6:0c:86:dd --> Da sind die MAC-Adressen der beteiligten Geräte und der "EtherType" enthalten...

  2c:58:4f: ist ein Arris-Gerät, also vermutlich der Router / das Modem selbst,

  1c:1b:0d ist eine Adresse von GIGA-BYTE, könnte die interne LAN-Schnittstelle auf einem PC-Mainboard sein.

  0x86dd ist der EtherType für IPv6, d.h. in dem Ethernet-Paket war ein IPv6-Paket enthalten

- src=2a02:8109:8680:283c:9927:5200:ffda:2395 --> die Quelladresse (zu dem Zeitpunkt)

- DST=2a02:8109:8680:283c:2e58:4fff:fe77:46c6 --> die Zieladresse (zu dem Zeitpunkt)

- LEN=79 --> Länge des Ethernet-Pakets

- TC=0 HOPLIMIT=64 FLOWLBL=386350 --> hier nicht wichtig

- PROTO=UDP SPT=50381 DPT=53 --> DNS-Anfrage über UDP

- LEN=39 --> Länge des UDP-Pakets... daraus ergibt sich die Länge des angefragten DNS-Namens zu 13 Zeichen

Ob die beiden Adressen (src / DST) aktuell noch verwendet werden, könnte man mit einem "ping" auf die Adresse testen. Wenn noch eine Antwort kommt, gibt's die Adresse noch - wenn nicht, weiß man auch nichts.

Bei IPv6 werden aber aufgrund der "privacy extensions" öfter mal die temporären Adressen gewechselt bzw. ein Gerät kann auch mehrere Adressen gleichzeitig nutzen.

Aber auch wenn sich bestätigt, dass die Quelle ein PC mit Mainboard von Giga-Byte war, ist ja immer noch unklar, was genau auf dem PC dieses "UDP-Feuerwerk" veranstaltet hat.

Wenn ein bestimmtes Spiel in Verdacht steht, wüsste man auch erst mal nicht, warum oder wo im Spiel solche Anfragen normal (aber eben nicht so schnell bzw. in der Anzahl) erzeugt werden... oder wie man sie ggf. von außen "triggern" kann.

Gab es seitdem einen Patch für das Spiel?

Grüße,

 SIGSEGV2

Vielen Dank für die Ausführung @SIGSEGV2 ich finde es super, dass du dir so viel Zeit nimmst. 

Das Spiel um das es geht ist Rainbowe Six Siege. Es ist bekannt das es dort leider öfter zu solchen attacken kommt. Der Angriff sieht in der Regel so aus das du den Spielbaren Charakter Bewegen kannst aber sonst nicht passiert. Dann bekommst du einen enorm hohen Ping bevor du letzendlich disconnected wirst. (Meinem Freund ist das Selbe in der selben Runde passiert) Ob es kürzlich einen Patch gab das weiß ich leider nicht. Ich fasse das Spiel seit diesem Vorfall erstmal nicht an. 

Mein Computer nutzt auch ein Mainboard von GigaByte. Jedoch hat ein vollständiger Systemscan mit Bitdefender nichts gebraucht. (Es wurde auch nichts gefunden) 

Herzliche Grüße 

BrunkUtlaf

Habe übrigens eine neue Meldung 

08/12/2019 20:14:28 DoS Attack UDP-Flooding IN=brlan0 OUT= PHYSIN=sw_1 MAC=2c:58:4f:77:46:c6:1c:1b:0d:e1:e6:0c:86:dd src=2a02:8109:8680:283c:9927:5200:ffda:2395 DST=2a02:8109:8680:283c:2e58:4fff:fe77:46c6 LEN=85 TC=0 HOPLIMIT=64 FLOWLBL=698504 PROTO=UDP SPT=49696 DPT=53 LEN=45 Firewall

LOL... also wenn man nach "rainbow six siege ddos attack" googlet, findet man direkt ein paar Treffer

Hab aber keinen im Detail angeschaut... scheint jedenfalls nicht selten zu sein.

Da haben wohl ein paar "Looser" einen Weg gefunden, einzelne Server über die "Gegenspieler" auf demselben Server (also u.a. dich) mit Anfragen zu bombardieren, so dass der Server in die Knie geht und dann "der Looser gewinnt"

Wäre technisch theoretisch interessant, wie man die Clients der anderen Mitspieler zu so einer Attacke verleiten kann, aber so brennend interessiert's mich dann auch wieder nicht 😉

Da dabei aber ja (wie oben gesagt) eine temporäre IPv6-Adresse aus deinem eigenen Subnetz verwendet wird, bist du eigentlich "halbwegs raus", sobald du den Router neu startest... weil dann kriegt dein PC ja eine neue IPv6-Adresse.

Natürlich wird das "Dauerfeuer" von außen auf deine alte Adresse dann nicht sofort aufhören... aber so blöd sind solche Cheat-Bots meistens auch nicht programmiert, dass sie langfristig sinnlos Bandbreite verschwenden, wenn "das Opfer" nicht mehr reagiert.

Da sowohl die alte als auch die neue temporäre IPv6-Adresse in "deinem Subnetz" liegen, werden auch nach einer Änderung der Adresse weiterhin Pakete für die alte Adresse zu deinem Router geschickt, auch wenn der sie dann verwirft, weil dein PC ja eine neue/andere Adresse hat.

... aber schon das Verwerfen der Pakete (und Loggen der Firewall-Warnings) kann natürlich eine gewisse Last auf dem Router erzeugen.

Ob sowas wie "Router mal eine Stunde offline nehmen" schneller hilft, ist nur geraten... das kommt auf die "Intelligenz" im Cheat-Bot an...

Grüße,

SIGSEGV2