Frage
Antwort
Lösung
am 10.08.2019 20:15
Hallo Community,
ich habe seit einigen Tagen mit sporadischen Verbindungsabbrüchen zu kämpfen. Da geht für einige Minuten weder im LAN noch W-Lan etwas. Ich nutze ein Kabelprdoukt. Dies passiert mehrmals am Tag. Auch kann ich wärenddessen nicht auf die Routeroberfläche zugreifen.
Ich habe auch eine Vermutung. Ich bin vor kurzem in einem Videospiel Opfer ein DDos Angriffs geworden.
Als ich wieder Zugriff auf meinem Router hatte habe ich in den Logs mehrere rote Nachrichten gesehen mit dem Hinnweis DoS. Daraufhin habe ich einen Neustart des Routers gemacht. (Leider sind dadurch auch die Meldungen in den Logs verschwunden).
Jetzt die Frage: Wie oft vergibt Vodafone eine neue IP passiert das täglich, nach einem Neustart oder sogar nie?
Vielen Dank im Voraus
Leo
Gelöst! Gehe zu Lösung.
am 12.08.2019 21:50
Falls du dir nicht doch lokal irgendeine "Malware" eingefangen hast, hilft der Tausch auf jeden Fall, weil sich damit die öffentliche IPv6 und auch das Subnetz ändert.
Falls doch, wird diese Malware das mit dem neuen Modem relativ schnell "wieder aktivieren"...
... kann man aber "relativ leicht" nach einem Neustart des Rechners überprüfen:
- "verdächtige Prozesse" im Task-Manager? Komische Namen mit Schreibfehlern in den Prozessnamen o.ä.?
- ein "netstat -a" auf der Kommandozeile nach einem Neustart... wenn da "unbekannte" Portnummern auftauchen, ist das zumindest verdächtig - was "unbekannt" ist, ist aber ggf. nicht so ganz einfach zu bewerten...
Grüße,
SIGSEGV2
am 12.08.2019 07:49
Edit: Ich füge hier mal die Fehlermeldung des Router an (Frisch von heute). Im technischen Kundenservice konnte man mir leider nicht sagen ob es möglich ist die IP Adresse zu ändern. Ich hoffe hier hat jemand Erfahrung.
08/12/2019 07:43:29 [warning][Firewall][DoS Attack UDP-Flooding IN=brlan0 OUT= PHYSIN=sw_1 MAC=2c:58:4f:77:46:c6:1c:1b:0d:e1:e6:0c:86:dd src=2a02:8109:8680:283c:9927:5200:ffda:2395 DST=2a02:8109:8680:283c:2e58:4fff:fe77:46c6 LEN=79 TC=0 HOPLIMIT=64 FLOWLBL=386350 PROTO=UDP SPT=50381 DPT=53 LEN=39 ]
am 12.08.2019 14:30
Hallo @BrunkUtlaf ,
der Netz-Anteil (die ersten 64 Bits der Adresse) sind identisch... sind das beides Adressen aus deinem eigenen /62-Subnetz? Das würde bedeuten, die Attacke kommt aus deinem Heimnetz.
Oder ist die 2a02:8109:8680:283c:2e58:4fff:fe77:46c6 die öffentliche IP deines Routers? Dann wäre die Quelle ein anderer Router bzw. ein anderes Modem in deiner Nähe. Oder evtl. umgekehrt?
DPT=53 (destination port 53) sind DNS-Anfragen für die Namensauflösung von Namen in IP-Adressen... die im eigenen Heimnetz eigentlich über die link-lokale Adresse mit fe80 am Anfang laufen.
Was das Ziel so einer Flooding-Attacke auf eine öffentliche IP eine Heimrouters ist, erschließt sich mir noch nicht so ganz.
Grüße,
SIGSEGV2
12.08.2019 14:56 - bearbeitet 12.08.2019 15:00
@SIGSEGV2 Danke für deine Antwort. Ich kan dem leider nicht ganz folgen. Was empfiehst du hier?
Ich habe mich in der Router Oberfläche Umgeschaut und habe im WLAN ein gerät entdeckt welches als "unknown" angegeben wird. Ich kann mir jetzt erstmal nicht vorstellen was das seien könnte (Mein Galaxy S10 und die GIGA TV Box werden separat aufgelistet.) Dieses Gerät habe ich erstmals blockiert.
Zitat von dir: "Oder ist die 2a02:8109:8680:283c:2e58:4fff:fe77:46c6 die öffentliche IP deines Routers?" https://www.wieistmeineip.de/ sagt nein.
Trotzdem kann ich mir nicht vorstellen wie es aus meinem Netzwerk kommen kann (Einen Kompletten Virenscan habe ich gestern ausgeführt)
Den DDoS Angriff in dem Videospiel kann ich aber soweit bestätigen da dies viele andere Nutzer bestätigt haben. Der Ablauf war bei vielen gleich.
Weißt du zufällig wie oft Vodafone die IP Adresse wechselt?
am 12.08.2019 16:24
Hi @BrunkUtlaf ,
in der Router-Oberfläche müsste irgendwo die öffentliche IPv6-Adresse deines Routers selbst stehen.
Das ist im Normalfall nicht die, die du bei wieistmeineip siehst, weil dort die IPv6 deines Endgeräts angezeigt wird, mit der du die Seite aufrufst, also eine aus deinem Netz-Prefix, die der Router dem Endgerät zugewiesen hat.
Darüber oder darunter müsste im Router auch dieses Adress-Prefix mit /62 stehen, aus dem dein Router Adressen an die angemeldeten Geräte vergibt.
Die Frage ist ob eine der beiden Adressen aus der Firewall-Warnung mit der öffentlichen IPv6 des Routers übereinstimmt... oder eben beide aus deinem eigenen Netz-Prefix sind (also grob die erste Hälfte der Adresse ist identisch zum Prefix, der Rest hängt vom Endgerät ab).
Bzgl. Adresswechsel bei IPv6: Meiner Erfahrung nach ändert sich die IPv6 des Routers und auch das Prefix nicht, sondern ist fest diesem Modem/Router (über die CM MAC) zugewiesen.
Bei einem Austausch des Modems würde sich also beides ändern. Ob es auch andere Möglichkeiten für eine manuelle Änderung über den Support gibt, weiß ich nicht.
Ob in so einem Fall ein (kostenloser) Modemtausch möglich ist, müsste ein Moderator beantworten können.
Grüße,
SIGSEGV2
am 12.08.2019 16:40
@SIGSEGV2 Danke dir erneut für die Antwort.
In meinem Router gibt es die "IPv6 Präfix Delegation" Die Adresse (vor dem /62) stimmt in der Tat mit der Adresse aus dem Log überein.
Sonst gibt es in der Routerübersicht das hier: "IPv6 Adresse" die ist dann auch genau so lang wie aus dem Log aber wird nach dem "2a02:8109:" anders.
Kannst du daraus einen Rückschluss ziehen?
Ich danke dir ganz herzlich, dass du dir die Zeit dafür nimmst.
12.08.2019 18:02 - bearbeitet 12.08.2019 18:03
Man müsste das genaue Format der Firewall-Log-Meldungen kennen, aber es sieht zumindest so aus, als ob diese DNS-Flooding-Anfragen aus deinem eigenen Netz (also nicht von außerhalb) gekommen sind.
Es kann zwar sein, dass sie irgendwie von außen "getriggert" werden, aber das, was die Firewall hier geloggt hat, ist "interner Traffic" zwischen Geräten im Heimnetz "hinter" dem Router (bzw. dem Router selbst).
Man kann aber auch mal grob raten, was was bedeutet:
- IN=brlan0 --> die Schnittstelle, auf der das Paket empfangen wurde
- OUT= PHYSIN=sw_1 --> die Schnittstelle, wo es hingehen sollte, was "sw_1" bedeutet, kann ich nicht sagen, evtl. eine Bezeichnung für den internen Switch des Routers
- MAC=2c:58:4f:77:46:c6:1c:1b:0d:e1:e6:0c:86:dd --> Da sind die MAC-Adressen der beteiligten Geräte und der "EtherType" enthalten...
2c:58:4f: ist ein Arris-Gerät, also vermutlich der Router / das Modem selbst,
1c:1b:0d ist eine Adresse von GIGA-BYTE, könnte die interne LAN-Schnittstelle auf einem PC-Mainboard sein.
0x86dd ist der EtherType für IPv6, d.h. in dem Ethernet-Paket war ein IPv6-Paket enthalten
- src=2a02:8109:8680:283c:9927:5200:ffda:2395 --> die Quelladresse (zu dem Zeitpunkt)
- DST=2a02:8109:8680:283c:2e58:4fff:fe77:46c6 --> die Zieladresse (zu dem Zeitpunkt)
- LEN=79 --> Länge des Ethernet-Pakets
- TC=0 HOPLIMIT=64 FLOWLBL=386350 --> hier nicht wichtig
- PROTO=UDP SPT=50381 DPT=53 --> DNS-Anfrage über UDP
- LEN=39 --> Länge des UDP-Pakets... daraus ergibt sich die Länge des angefragten DNS-Namens zu 13 Zeichen
Ob die beiden Adressen (src / DST) aktuell noch verwendet werden, könnte man mit einem "ping" auf die Adresse testen. Wenn noch eine Antwort kommt, gibt's die Adresse noch - wenn nicht, weiß man auch nichts.
Bei IPv6 werden aber aufgrund der "privacy extensions" öfter mal die temporären Adressen gewechselt bzw. ein Gerät kann auch mehrere Adressen gleichzeitig nutzen.
Aber auch wenn sich bestätigt, dass die Quelle ein PC mit Mainboard von Giga-Byte war, ist ja immer noch unklar, was genau auf dem PC dieses "UDP-Feuerwerk" veranstaltet hat.
Wenn ein bestimmtes Spiel in Verdacht steht, wüsste man auch erst mal nicht, warum oder wo im Spiel solche Anfragen normal (aber eben nicht so schnell bzw. in der Anzahl) erzeugt werden... oder wie man sie ggf. von außen "triggern" kann.
Gab es seitdem einen Patch für das Spiel?
Grüße,
SIGSEGV2
am 12.08.2019 18:17
Vielen Dank für die Ausführung @SIGSEGV2 ich finde es super, dass du dir so viel Zeit nimmst.
Das Spiel um das es geht ist Rainbowe Six Siege. Es ist bekannt das es dort leider öfter zu solchen attacken kommt. Der Angriff sieht in der Regel so aus das du den Spielbaren Charakter Bewegen kannst aber sonst nicht passiert. Dann bekommst du einen enorm hohen Ping bevor du letzendlich disconnected wirst. (Meinem Freund ist das Selbe in der selben Runde passiert) Ob es kürzlich einen Patch gab das weiß ich leider nicht. Ich fasse das Spiel seit diesem Vorfall erstmal nicht an.
Mein Computer nutzt auch ein Mainboard von GigaByte. Jedoch hat ein vollständiger Systemscan mit Bitdefender nichts gebraucht. (Es wurde auch nichts gefunden)
Herzliche Grüße
BrunkUtlaf
am 12.08.2019 20:21
Habe übrigens eine neue Meldung
08/12/2019 20:14:28 DoS Attack UDP-Flooding IN=brlan0 OUT= PHYSIN=sw_1 MAC=2c:58:4f:77:46:c6:1c:1b:0d:e1:e6:0c:86:dd src=2a02:8109:8680:283c:9927:5200:ffda:2395 DST=2a02:8109:8680:283c:2e58:4fff:fe77:46c6 LEN=85 TC=0 HOPLIMIT=64 FLOWLBL=698504 PROTO=UDP SPT=49696 DPT=53 LEN=45 Firewall
am 12.08.2019 20:36
LOL... also wenn man nach "rainbow six siege ddos attack" googlet, findet man direkt ein paar Treffer
Hab aber keinen im Detail angeschaut... scheint jedenfalls nicht selten zu sein.
Da haben wohl ein paar "Looser" einen Weg gefunden, einzelne Server über die "Gegenspieler" auf demselben Server (also u.a. dich) mit Anfragen zu bombardieren, so dass der Server in die Knie geht und dann "der Looser gewinnt"
Wäre technisch theoretisch interessant, wie man die Clients der anderen Mitspieler zu so einer Attacke verleiten kann, aber so brennend interessiert's mich dann auch wieder nicht 😉
Da dabei aber ja (wie oben gesagt) eine temporäre IPv6-Adresse aus deinem eigenen Subnetz verwendet wird, bist du eigentlich "halbwegs raus", sobald du den Router neu startest... weil dann kriegt dein PC ja eine neue IPv6-Adresse.
Natürlich wird das "Dauerfeuer" von außen auf deine alte Adresse dann nicht sofort aufhören... aber so blöd sind solche Cheat-Bots meistens auch nicht programmiert, dass sie langfristig sinnlos Bandbreite verschwenden, wenn "das Opfer" nicht mehr reagiert.
Da sowohl die alte als auch die neue temporäre IPv6-Adresse in "deinem Subnetz" liegen, werden auch nach einer Änderung der Adresse weiterhin Pakete für die alte Adresse zu deinem Router geschickt, auch wenn der sie dann verwirft, weil dein PC ja eine neue/andere Adresse hat.
... aber schon das Verwerfen der Pakete (und Loggen der Firewall-Warnings) kann natürlich eine gewisse Last auf dem Router erzeugen.
Ob sowas wie "Router mal eine Stunde offline nehmen" schneller hilft, ist nur geraten... das kommt auf die "Intelligenz" im Cheat-Bot an...
Grüße,
SIGSEGV2