- Anzeige -

FLOODING flooding attack from WAN

In diesem Forum geht es um alle Störungen im Kabelnetz von Unitymedia, egal ob analoges TV und Radio, digitales TV und Radio, Internet oder Telefonie.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

FLOODING flooding attack from WAN

Beitragvon cradleofdsl » 21.11.2010, 09:30

Also folgendes, meine Sister hat seit knapp einen Monat DSL über Kabel von Unitymedia mit bis zu 64000 Mbits/s. Das ganze geht über die Kabel Leitung vom Kabel Anschluss. Der Router ist ein Dir-600 von D-Link. Angeschlossen ist ein PC und ein Laptop über W-lan. Vorher waren sie bei Versatel und hatten eine Fritz box (weiß leider nicht mehr was das für eine war). Sie haben sich einen neuen Anbieter gesucht weil ihr Router (zumindest dachten sie es) den Geist aufgegeben hat, da sie ständig aus dem netz geflogen sind und er öfter neu gebootet hat.

Nun ja, knapp eine Woche nachdem sie ihren neuen Anbieter samt Router hatten flog der Laptop öfter aus dem netz (meistens beim spielen von Fiesta Online), beim spielen von Kingcom ging die Bandbreite auch andauernd in den Keller (so das die spiele auch fast ständig unterbrochen waren). Als ich nun die Tage mal wieder dort war habe ich Folgenden Eintrag im Router gelesen (bzw. im Protokoll).


Die Firmware version vom Router ist laut dem Router die Aktuellste: Hardware-Version : Bx Firmware-Version : 2.02

Nov 19 19:14:29 PING-FLOODING flooding attack from WAN (ip:84.63.186.194) detected.
Nov 19 19:14:29 PING-FLOODING flooding attack from WAN (ip:10.83.96.1) detected.

Nov 19 19:12:08 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 19 18:42:00 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 19 18:29:24 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 19 18:29:24 DHCP: Server receive REQUEST from 00:1f:cf:52:7a:12.
Nov 19 18:11:59 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 19 17:41:58 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 19 17:15:31 Drop PING request from WAN (ip:209.161.113.139).
Nov 19 17:11:51 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.

Also ich versuche schon selber alles bis ich in einem Forum poste (habe auch die Forensuche verwendet aber leider ohne erfolg). Ich weiß Was das ist, es ist soweit ich das in eigenen Worten sagen darf. Eine art angriff die mit Daten Paketen und ihrer häufigen Anzahl dafür sorgen das der router so zum rödeln kommt und somit im schlimmsten fall der Router neu bootet oder zumindest die Bandbreite in das Level eines 14kb Modem schießt. Nur was ich nicht weiß. A. Woher kommt es (Habe im Internet gelesen das es sowohl irgendwelche Hacker aber sogar auch Kabelanbieter seien können). B. Wie kann ich das nun unterbinden oder zumindest so einrichten das es nicht das surf vergnügen beeinträchtigt.

Viren sind soweit ausgeschlossen da ich sämtliche tools benutzt habe um beide Systeme zu prüfen.

Also ich wäre für jeden Tipp dankbar, und ich hoffe ihr könnt mir weiterhelfen. Falls ich zu vorlaut klinge entschuldige ich mich schon mal, hab nicht das absolute Fachwissen aber zumindest eine gute Portion benutzer wissen. Arbeite seit mehr als 16 Jahren mit Computern.

Also noch mal dank im voraus, Das B
Unter den Menschen
gibt es viel mehr Kopien
als ORIGINALE.
cradleofdsl
Kabelneuling
 
Beiträge: 6
Registriert: 21.11.2010, 09:17
Wohnort: HSK

Re: FLOODING flooding attack from WAN

Beitragvon koax » 21.11.2010, 09:53

cradleofdsl hat geschrieben:Die Firmware version vom Router ist laut dem Router die Aktuellste: Hardware-Version : Bx Firmware-Version : 2.02

Die aktuelle Firmware des DIR-600 hat die Version 2.03.
http://www.dlink.de/cs/Satellite?c=TechSupport_C&childpagename=DLinkEurope-DE%2FDLTechProduct&cid=1197381489628&p=1197318958220&packedargs=category%3DTechSupportSearch%26locale%3D1195806663795%26term%3DDIR-600&pagename=DLinkEurope-DE%2FDLWrapper
Benutzeravatar
koax
Kabelkopfstation
 
Beiträge: 3932
Registriert: 09.12.2007, 11:43
Wohnort: Köln

Re: FLOODING flooding attack from WAN

Beitragvon Henni69 » 21.11.2010, 10:00

Hi,

es sieht so aus, als könnte der DLINK router die Pingflood Attacke erkennen und die Ping Packete verwerfen :

Nov 19 17:15:31 Drop PING request from WAN (ip:209.161.113.139).

Schau mal ob Du auch "Drop PING" mit der IP addesse 84.63.186.194 und 10.83.96.1 findest ?

H*
Henni69
Kabelneuling
 
Beiträge: 6
Registriert: 20.11.2010, 23:53

Re: FLOODING flooding attack from WAN

Beitragvon cradleofdsl » 21.11.2010, 10:06

Erstmal tausend dank für die schnellen antworten. Meine sister ist zu zeit worken, aber heute abend sobald sie da ist werde ich eure tips umsetzen und euch umgehend berichten. Zu dem Update (muss es dann wohl manuel downloaden und aufspielen, da die automatische aktualisierung sagt es sei aktuell). Kein prob, melde mich wieder. Danke :super:
Unter den Menschen
gibt es viel mehr Kopien
als ORIGINALE.
cradleofdsl
Kabelneuling
 
Beiträge: 6
Registriert: 21.11.2010, 09:17
Wohnort: HSK

Re: FLOODING flooding attack from WAN

Beitragvon oxygen » 21.11.2010, 11:42

cradleofdsl hat geschrieben:Also folgendes, meine Sister hat seit knapp einen Monat DSL über Kabel von Unitymedia mit bis zu 64000 Mbits/s. Das ganze geht über die Kabel Leitung vom Kabel Anschluss. Der Router ist ein Dir-600 von D-Link. Angeschlossen ist ein PC und ein Laptop über W-lan. Vorher waren sie bei Versatel und hatten eine Fritz box (weiß leider nicht mehr was das für eine war). Sie haben sich einen neuen Anbieter gesucht weil ihr Router (zumindest dachten sie es) den Geist aufgegeben hat, da sie ständig aus dem netz geflogen sind und er öfter neu gebootet hat.

Nun ja, knapp eine Woche nachdem sie ihren neuen Anbieter samt Router hatten flog der Laptop öfter aus dem netz (meistens beim spielen von Fiesta Online), beim spielen von Kingcom ging die Bandbreite auch andauernd in den Keller (so das die spiele auch fast ständig unterbrochen waren). Als ich nun die Tage mal wieder dort war habe ich Folgenden Eintrag im Router gelesen (bzw. im Protokoll).

Das ist nicht der Grund warum die Internet Verbindung schlecht ist, viel mehr ist ein falscher Alarm.

Telekom Entertain IP VDSL50 mit IPv6/IPv4-Dual-Stack Router: Netgear DGNB3800B
Früher: Unitymedia
oxygen
Glasfaserstrecke
 
Beiträge: 1321
Registriert: 30.09.2009, 16:53

Re: FLOODING flooding attack from WAN

Beitragvon cradleofdsl » 21.11.2010, 11:59

Sobald dieses Flooding Ping erscheint geht die leitung voll in den Keller. Was meinst du mit Falscher Alarm?
Ich würde sagen das dies der grund ist.
Unter den Menschen
gibt es viel mehr Kopien
als ORIGINALE.
cradleofdsl
Kabelneuling
 
Beiträge: 6
Registriert: 21.11.2010, 09:17
Wohnort: HSK

Re: FLOODING flooding attack from WAN

Beitragvon Henni69 » 21.11.2010, 13:06

Ich nochmal,

mmh..............Wenn dich einer "PING flooden" will, sodaß die Leitung im Downsstream verstopft ist, müßte ein einzelner Angreifer einen Upstream von 64Mbit/s haben (so groß wie Dein Downstrean). So ein Consumer Produkt gibt es wohl NOCH nicht.........Aufgrund der log message " Nov 19 17:15:31 Drop PING request from WAN (ip:209.161.113.139). schickt dein Router keine PING Packte zurück, sodass Dein Upstream nicht verstopft werden kann.....Ich denke das Probem liegt evtl. wo anders.

H*
Henni69
Kabelneuling
 
Beiträge: 6
Registriert: 20.11.2010, 23:53

Re: FLOODING flooding attack from WAN

Beitragvon Henni69 » 21.11.2010, 13:13

Läuft denn das Wireless des Laptops wirklich stabil ? Mal Dauerping auf 8.8.8.8 laufen "ping 8.8.8.8 -t"
Henni69
Kabelneuling
 
Beiträge: 6
Registriert: 20.11.2010, 23:53

Re: FLOODING flooding attack from WAN

Beitragvon cradleofdsl » 21.11.2010, 13:14

Ah, jetzt verstehe ich(im bezug auf "Falscher Alarm"). Sorry, aber wie gesagt soo gut kenne ich mich mit diesem Thema nicht aus. Aber ich bin gerne bereit zu lernen. Ich wollte heute abend erstmal diese update bei meiner sister machen und dann mal weiter sehen. Was ich nur komisch (nicht lustig) finde ist das der alte Router (Fritzbox) sich zum ende ja auch öfter neu gebootet hat und die geräte aus dem netz geworfen hat (aber beide systeme wurden anschließend neu installiert) , ich weiß nur nicht warum sich das auf einmal mit dem neuen Dir-600 wiederholt. Wenn ich euch noch mehr daten geben soll, sagt mir welche. Mache alles hauptsache ich bekomme das problem in den griff.

Also den ping kann ich ja grad nicht testen (aber die übertragungsrate bzw. verbindung war Hervorragend). Aber wie gesagt beide Systeme (PC und Laptop) laufen über W-lan und beide systeme haben gleichzeitig auf einmal voll die einbußen in der bandbreite.
Unter den Menschen
gibt es viel mehr Kopien
als ORIGINALE.
cradleofdsl
Kabelneuling
 
Beiträge: 6
Registriert: 21.11.2010, 09:17
Wohnort: HSK

Re: FLOODING flooding attack from WAN

Beitragvon cradleofdsl » 21.11.2010, 21:04

Hab den router upgedatet und die log kopiert. Des Weiteren hab ich den Ping test gemacht (Ergebnis am ende des Beitrages) . Was brauch ihr noch, das Problem ist wohl heute nur einmal aufgetreten zumindest war es wohl einmal sehr langsam.


Zeit Benachrichtigung
Nov 21 19:46:35 PING-FLOODING flooding attack from WAN (ip:84.63.169.198) detected.
Nov 21 19:46:35 PING-FLOODING flooding attack from WAN (ip:84.63.169.198) detected.
Nov 21 19:37:31 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 19:32:37 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 21 19:32:37 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 19:32:33 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 21 19:32:33 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 19:31:07 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 21 19:31:07 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 19:31:04 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)

Zeit Benachrichtigung
Nov 21 19:31:04 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 19:26:57 DHCP: Server sending ACK to 192.168.0.100. (Lease time = 86400)
Nov 21 19:26:57 DHCP: Server receive REQUEST from 00:1f:cf:52:7a:12.
Nov 21 19:26:57 DHCP: Server sending OFFER of 192.168.0.100.
Nov 21 19:26:57 DHCP: Server receive DISCOVER from 00:1f:cf:52:7a:12.
Nov 21 19:07:30 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 18:37:30 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 18:07:30 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 18:01:15 DHCP: Server receive RELEASE from 00:25:a0:05:5a:c4.
Nov 21 17:53:29 DHCP: Server sending ACK to 192.168.0.102. (Lease time = 86400)

Zeit Benachrichtigung
Nov 21 17:53:29 DHCP: Server receive REQUEST from 00:25:a0:05:5a:c4.
Nov 21 17:53:29 DHCP: Server sending OFFER of 192.168.0.102.
Nov 21 17:53:29 DHCP: Server receive DISCOVER from 00:25:a0:05:5a:c4.
Nov 21 17:45:10 DHCP: Server receive RELEASE from 00:25:a0:05:5a:c4.
Nov 21 17:37:30 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 17:36:04 DHCP: Server sending ACK to 192.168.0.102. (Lease time = 86400)
Nov 21 17:36:04 DHCP: Server receive REQUEST from 00:25:a0:05:5a:c4.
Nov 21 17:36:04 DHCP: Server sending OFFER of 192.168.0.102.
Nov 21 17:36:04 DHCP: Server receive DISCOVER from 00:25:a0:05:5a:c4.
Nov 21 17:36:04 DHCP: Server sending OFFER of 192.168.0.102.

Zeit Benachrichtigung
Nov 21 17:36:04 DHCP: Server receive DISCOVER from 00:25:a0:05:5a:c4.
Nov 21 17:33:03 DHCP: Server receive RELEASE from 00:25:a0:05:5a:c4.
Nov 21 17:17:12 DHCP: Server sending ACK to 192.168.0.102. (Lease time = 86400)
Nov 21 17:17:12 DHCP: Server receive REQUEST from 00:25:a0:05:5a:c4.
Nov 21 17:17:12 DHCP: Server sending OFFER of 192.168.0.102.
Nov 21 17:17:12 DHCP: Server receive DISCOVER from 00:25:a0:05:5a:c4.
Nov 21 17:17:12 DHCP: Server sending OFFER of 192.168.0.102.
Nov 21 17:17:09 DHCP: Server receive DISCOVER from 00:25:a0:05:5a:c4.
Nov 21 17:07:23 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 16:55:56 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)

Zeit Benachrichtigung
Nov 21 16:55:56 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 16:55:51 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 21 16:55:51 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 16:37:53 PING-FLOODING flooding attack from WAN (ip:84.63.169.198) detected.
Nov 21 16:37:27 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 21 16:37:27 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 16:37:27 DHCP: Server sending OFFER of 192.168.0.101.
Nov 21 16:37:27 Time synchronized at 2010/11/21, 16:37:27.
Jan 1 00:00:22 Remote management is disabled.
Jan 1 00:00:22 Block WAN PING is enabled.

Dauerping Zeit zu 95% 12ms TTL=56
Und etwa 5% spitzen um die 92-100 ms TTL=56

(Hab die leise Hoffnung das es nur am udate lag *bitte lieber gott* )
Unter den Menschen
gibt es viel mehr Kopien
als ORIGINALE.
cradleofdsl
Kabelneuling
 
Beiträge: 6
Registriert: 21.11.2010, 09:17
Wohnort: HSK

Nächste

Zurück zu Störungen im Kabelnetz von Unitymedia

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 14 Gäste