FLOODING flooding attack from WAN

In diesem Forum geht es um alle Störungen im Kabelnetz von Unitymedia, egal ob analoges TV und Radio, digitales TV und Radio, Internet oder Telefonie.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Antworten
cradleofdsl
Kabelneuling
Beiträge: 6
Registriert: 21.11.2010, 08:17
Wohnort: HSK

FLOODING flooding attack from WAN

Beitrag von cradleofdsl » 21.11.2010, 08:30

Also folgendes, meine Sister hat seit knapp einen Monat DSL über Kabel von Unitymedia mit bis zu 64000 Mbits/s. Das ganze geht über die Kabel Leitung vom Kabel Anschluss. Der Router ist ein Dir-600 von D-Link. Angeschlossen ist ein PC und ein Laptop über W-lan. Vorher waren sie bei Versatel und hatten eine Fritz box (weiß leider nicht mehr was das für eine war). Sie haben sich einen neuen Anbieter gesucht weil ihr Router (zumindest dachten sie es) den Geist aufgegeben hat, da sie ständig aus dem netz geflogen sind und er öfter neu gebootet hat.

Nun ja, knapp eine Woche nachdem sie ihren neuen Anbieter samt Router hatten flog der Laptop öfter aus dem netz (meistens beim spielen von Fiesta Online), beim spielen von Kingcom ging die Bandbreite auch andauernd in den Keller (so das die spiele auch fast ständig unterbrochen waren). Als ich nun die Tage mal wieder dort war habe ich Folgenden Eintrag im Router gelesen (bzw. im Protokoll).


Die Firmware version vom Router ist laut dem Router die Aktuellste: Hardware-Version : Bx Firmware-Version : 2.02

Nov 19 19:14:29 PING-FLOODING flooding attack from WAN (ip:84.63.186.194) detected.
Nov 19 19:14:29 PING-FLOODING flooding attack from WAN (ip:10.83.96.1) detected.

Nov 19 19:12:08 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 19 18:42:00 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 19 18:29:24 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 19 18:29:24 DHCP: Server receive REQUEST from 00:1f:cf:52:7a:12.
Nov 19 18:11:59 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 19 17:41:58 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 19 17:15:31 Drop PING request from WAN (ip:209.161.113.139).
Nov 19 17:11:51 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.

Also ich versuche schon selber alles bis ich in einem Forum poste (habe auch die Forensuche verwendet aber leider ohne erfolg). Ich weiß Was das ist, es ist soweit ich das in eigenen Worten sagen darf. Eine art angriff die mit Daten Paketen und ihrer häufigen Anzahl dafür sorgen das der router so zum rödeln kommt und somit im schlimmsten fall der Router neu bootet oder zumindest die Bandbreite in das Level eines 14kb Modem schießt. Nur was ich nicht weiß. A. Woher kommt es (Habe im Internet gelesen das es sowohl irgendwelche Hacker aber sogar auch Kabelanbieter seien können). B. Wie kann ich das nun unterbinden oder zumindest so einrichten das es nicht das surf vergnügen beeinträchtigt.

Viren sind soweit ausgeschlossen da ich sämtliche tools benutzt habe um beide Systeme zu prüfen.

Also ich wäre für jeden Tipp dankbar, und ich hoffe ihr könnt mir weiterhelfen. Falls ich zu vorlaut klinge entschuldige ich mich schon mal, hab nicht das absolute Fachwissen aber zumindest eine gute Portion benutzer wissen. Arbeite seit mehr als 16 Jahren mit Computern.

Also noch mal dank im voraus, Das B
Unter den Menschen
gibt es viel mehr Kopien
als ORIGINALE.

Benutzeravatar
koax
Kabelkopfstation
Beiträge: 3970
Registriert: 09.12.2007, 10:43
Wohnort: Köln

Re: FLOODING flooding attack from WAN

Beitrag von koax » 21.11.2010, 08:53

cradleofdsl hat geschrieben: Die Firmware version vom Router ist laut dem Router die Aktuellste: Hardware-Version : Bx Firmware-Version : 2.02
Die aktuelle Firmware des DIR-600 hat die Version 2.03.
http://www.dlink.de/cs/Satellite?c=Tech ... FDLWrapper

Henni69
Kabelneuling
Beiträge: 6
Registriert: 20.11.2010, 22:53

Re: FLOODING flooding attack from WAN

Beitrag von Henni69 » 21.11.2010, 09:00

Hi,

es sieht so aus, als könnte der DLINK router die Pingflood Attacke erkennen und die Ping Packete verwerfen :

Nov 19 17:15:31 Drop PING request from WAN (ip:209.161.113.139).

Schau mal ob Du auch "Drop PING" mit der IP addesse 84.63.186.194 und 10.83.96.1 findest ?

H*

cradleofdsl
Kabelneuling
Beiträge: 6
Registriert: 21.11.2010, 08:17
Wohnort: HSK

Re: FLOODING flooding attack from WAN

Beitrag von cradleofdsl » 21.11.2010, 09:06

Erstmal tausend dank für die schnellen antworten. Meine sister ist zu zeit worken, aber heute abend sobald sie da ist werde ich eure tips umsetzen und euch umgehend berichten. Zu dem Update (muss es dann wohl manuel downloaden und aufspielen, da die automatische aktualisierung sagt es sei aktuell). Kein prob, melde mich wieder. Danke :super:
Unter den Menschen
gibt es viel mehr Kopien
als ORIGINALE.

oxygen
Glasfaserstrecke
Beiträge: 1311
Registriert: 30.09.2009, 16:53

Re: FLOODING flooding attack from WAN

Beitrag von oxygen » 21.11.2010, 10:42

cradleofdsl hat geschrieben:Also folgendes, meine Sister hat seit knapp einen Monat DSL über Kabel von Unitymedia mit bis zu 64000 Mbits/s. Das ganze geht über die Kabel Leitung vom Kabel Anschluss. Der Router ist ein Dir-600 von D-Link. Angeschlossen ist ein PC und ein Laptop über W-lan. Vorher waren sie bei Versatel und hatten eine Fritz box (weiß leider nicht mehr was das für eine war). Sie haben sich einen neuen Anbieter gesucht weil ihr Router (zumindest dachten sie es) den Geist aufgegeben hat, da sie ständig aus dem netz geflogen sind und er öfter neu gebootet hat.

Nun ja, knapp eine Woche nachdem sie ihren neuen Anbieter samt Router hatten flog der Laptop öfter aus dem netz (meistens beim spielen von Fiesta Online), beim spielen von Kingcom ging die Bandbreite auch andauernd in den Keller (so das die spiele auch fast ständig unterbrochen waren). Als ich nun die Tage mal wieder dort war habe ich Folgenden Eintrag im Router gelesen (bzw. im Protokoll).
Das ist nicht der Grund warum die Internet Verbindung schlecht ist, viel mehr ist ein falscher Alarm.

Telekom Entertain IP VDSL50 mit IPv6/IPv4-Dual-Stack Router: Netgear DGNB3800B
Früher: Unitymedia

cradleofdsl
Kabelneuling
Beiträge: 6
Registriert: 21.11.2010, 08:17
Wohnort: HSK

Re: FLOODING flooding attack from WAN

Beitrag von cradleofdsl » 21.11.2010, 10:59

Sobald dieses Flooding Ping erscheint geht die leitung voll in den Keller. Was meinst du mit Falscher Alarm?
Ich würde sagen das dies der grund ist.
Unter den Menschen
gibt es viel mehr Kopien
als ORIGINALE.

Henni69
Kabelneuling
Beiträge: 6
Registriert: 20.11.2010, 22:53

Re: FLOODING flooding attack from WAN

Beitrag von Henni69 » 21.11.2010, 12:06

Ich nochmal,

mmh..............Wenn dich einer "PING flooden" will, sodaß die Leitung im Downsstream verstopft ist, müßte ein einzelner Angreifer einen Upstream von 64Mbit/s haben (so groß wie Dein Downstrean). So ein Consumer Produkt gibt es wohl NOCH nicht.........Aufgrund der log message " Nov 19 17:15:31 Drop PING request from WAN (ip:209.161.113.139). schickt dein Router keine PING Packte zurück, sodass Dein Upstream nicht verstopft werden kann.....Ich denke das Probem liegt evtl. wo anders.

H*

Henni69
Kabelneuling
Beiträge: 6
Registriert: 20.11.2010, 22:53

Re: FLOODING flooding attack from WAN

Beitrag von Henni69 » 21.11.2010, 12:13

Läuft denn das Wireless des Laptops wirklich stabil ? Mal Dauerping auf 8.8.8.8 laufen "ping 8.8.8.8 -t"

cradleofdsl
Kabelneuling
Beiträge: 6
Registriert: 21.11.2010, 08:17
Wohnort: HSK

Re: FLOODING flooding attack from WAN

Beitrag von cradleofdsl » 21.11.2010, 12:14

Ah, jetzt verstehe ich(im bezug auf "Falscher Alarm"). Sorry, aber wie gesagt soo gut kenne ich mich mit diesem Thema nicht aus. Aber ich bin gerne bereit zu lernen. Ich wollte heute abend erstmal diese update bei meiner sister machen und dann mal weiter sehen. Was ich nur komisch (nicht lustig) finde ist das der alte Router (Fritzbox) sich zum ende ja auch öfter neu gebootet hat und die geräte aus dem netz geworfen hat (aber beide systeme wurden anschließend neu installiert) , ich weiß nur nicht warum sich das auf einmal mit dem neuen Dir-600 wiederholt. Wenn ich euch noch mehr daten geben soll, sagt mir welche. Mache alles hauptsache ich bekomme das problem in den griff.

Also den ping kann ich ja grad nicht testen (aber die übertragungsrate bzw. verbindung war Hervorragend). Aber wie gesagt beide Systeme (PC und Laptop) laufen über W-lan und beide systeme haben gleichzeitig auf einmal voll die einbußen in der bandbreite.
Unter den Menschen
gibt es viel mehr Kopien
als ORIGINALE.

cradleofdsl
Kabelneuling
Beiträge: 6
Registriert: 21.11.2010, 08:17
Wohnort: HSK

Re: FLOODING flooding attack from WAN

Beitrag von cradleofdsl » 21.11.2010, 20:04

Hab den router upgedatet und die log kopiert. Des Weiteren hab ich den Ping test gemacht (Ergebnis am ende des Beitrages) . Was brauch ihr noch, das Problem ist wohl heute nur einmal aufgetreten zumindest war es wohl einmal sehr langsam.


Zeit Benachrichtigung
Nov 21 19:46:35 PING-FLOODING flooding attack from WAN (ip:84.63.169.198) detected.
Nov 21 19:46:35 PING-FLOODING flooding attack from WAN (ip:84.63.169.198) detected.
Nov 21 19:37:31 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 19:32:37 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 21 19:32:37 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 19:32:33 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 21 19:32:33 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 19:31:07 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 21 19:31:07 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 19:31:04 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)

Zeit Benachrichtigung
Nov 21 19:31:04 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 19:26:57 DHCP: Server sending ACK to 192.168.0.100. (Lease time = 86400)
Nov 21 19:26:57 DHCP: Server receive REQUEST from 00:1f:cf:52:7a:12.
Nov 21 19:26:57 DHCP: Server sending OFFER of 192.168.0.100.
Nov 21 19:26:57 DHCP: Server receive DISCOVER from 00:1f:cf:52:7a:12.
Nov 21 19:07:30 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 18:37:30 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 18:07:30 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 18:01:15 DHCP: Server receive RELEASE from 00:25:a0:05:5a:c4.
Nov 21 17:53:29 DHCP: Server sending ACK to 192.168.0.102. (Lease time = 86400)

Zeit Benachrichtigung
Nov 21 17:53:29 DHCP: Server receive REQUEST from 00:25:a0:05:5a:c4.
Nov 21 17:53:29 DHCP: Server sending OFFER of 192.168.0.102.
Nov 21 17:53:29 DHCP: Server receive DISCOVER from 00:25:a0:05:5a:c4.
Nov 21 17:45:10 DHCP: Server receive RELEASE from 00:25:a0:05:5a:c4.
Nov 21 17:37:30 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 17:36:04 DHCP: Server sending ACK to 192.168.0.102. (Lease time = 86400)
Nov 21 17:36:04 DHCP: Server receive REQUEST from 00:25:a0:05:5a:c4.
Nov 21 17:36:04 DHCP: Server sending OFFER of 192.168.0.102.
Nov 21 17:36:04 DHCP: Server receive DISCOVER from 00:25:a0:05:5a:c4.
Nov 21 17:36:04 DHCP: Server sending OFFER of 192.168.0.102.

Zeit Benachrichtigung
Nov 21 17:36:04 DHCP: Server receive DISCOVER from 00:25:a0:05:5a:c4.
Nov 21 17:33:03 DHCP: Server receive RELEASE from 00:25:a0:05:5a:c4.
Nov 21 17:17:12 DHCP: Server sending ACK to 192.168.0.102. (Lease time = 86400)
Nov 21 17:17:12 DHCP: Server receive REQUEST from 00:25:a0:05:5a:c4.
Nov 21 17:17:12 DHCP: Server sending OFFER of 192.168.0.102.
Nov 21 17:17:12 DHCP: Server receive DISCOVER from 00:25:a0:05:5a:c4.
Nov 21 17:17:12 DHCP: Server sending OFFER of 192.168.0.102.
Nov 21 17:17:09 DHCP: Server receive DISCOVER from 00:25:a0:05:5a:c4.
Nov 21 17:07:23 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 21 16:55:56 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)

Zeit Benachrichtigung
Nov 21 16:55:56 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 16:55:51 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 21 16:55:51 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 16:37:53 PING-FLOODING flooding attack from WAN (ip:84.63.169.198) detected.
Nov 21 16:37:27 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 21 16:37:27 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 21 16:37:27 DHCP: Server sending OFFER of 192.168.0.101.
Nov 21 16:37:27 Time synchronized at 2010/11/21, 16:37:27.
Jan 1 00:00:22 Remote management is disabled.
Jan 1 00:00:22 Block WAN PING is enabled.

Dauerping Zeit zu 95% 12ms TTL=56
Und etwa 5% spitzen um die 92-100 ms TTL=56

(Hab die leise Hoffnung das es nur am udate lag *bitte lieber gott* )
Unter den Menschen
gibt es viel mehr Kopien
als ORIGINALE.

Grothesk
Kabelkopfstation
Beiträge: 4802
Registriert: 13.01.2008, 16:00
Wohnort: Köln-Bayenthal

Re: FLOODING flooding attack from WAN

Beitrag von Grothesk » 21.11.2010, 20:36

Code: Alles auswählen

Jan 1 00:00:22 Block WAN PING is enabled.
Mach den 'BLock' mal aus.

cradleofdsl
Kabelneuling
Beiträge: 6
Registriert: 21.11.2010, 08:17
Wohnort: HSK

Re: FLOODING flooding attack from WAN

Beitrag von cradleofdsl » 24.11.2010, 18:04

Also nach dem erfolgreichen update, ist das problem nach wie vor da. Aber nun ist es weniger das Flooding Ping sonder das Discover.

Ich denke um es genauer zu sagen das es wohl vorher auch schon das problem war um der aussage von " oxygen" recht zu geben.

Ich habe meine sister gebeten die genauen zeiten aufzuschreiben in den sie aus dem netz fliegen und es passt zu genau den rot markierten zeilen. Bin nu wieder bei null, hab versucht mit google etwas zu finden aber erfolglos. Habt ihr vielleicht noch eine idee? Tausend dank schonmal für alle tips die ihr mir bis jetzt gegeben habt.

Hier das Protokoll :
Zeit Benachrichtigung
Nov 24 15:16:57 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 24 15:16:53 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 24 15:16:53 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 24 15:16:05 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 24 14:48:33 DHCP: Server sending ACK to 192.168.0.100. (Lease time = 86400)
Nov 24 14:48:33 DHCP: Server receive REQUEST from 00:1f:cf:52:7a:12.
Nov 24 14:48:33 DHCP: Server sending OFFER of 192.168.0.100.
Nov 24 14:48:33 DHCP: Server receive DISCOVER from 00:1f:cf:52:7a:12.
Nov 24 14:46:04 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 24 14:16:04 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Zeit Benachrichtigung
Nov 24 13:58:43 DHCP: Server sending ACK to 192.168.0.100. (Lease time = 86400)
Nov 24 13:58:43 DHCP: Server receive REQUEST from 00:1f:cf:52:7a:12.
Nov 24 13:58:43 DHCP: Server sending OFFER of 192.168.0.100.
Nov 24 13:58:43 DHCP: Server receive DISCOVER from 00:1f:cf:52:7a:12.
Nov 24 13:46:03 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 24 13:45:05 Drop PING request from WAN (ip:202.103.179.25).
Nov 24 13:43:51 DHCP: Server sending ACK to 192.168.0.100. (Lease time = 86400)
Nov 24 13:43:51 DHCP: Server receive REQUEST from 00:1f:cf:52:7a:12.
Nov 24 13:16:03 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 24 12:46:03 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.

Zeit Benachrichtigung
Nov 23 18:30:31 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 23 18:18:51 Drop PING request from WAN (ip:218.202.154.174).
Nov 23 18:18:36 DHCP: Server sending ACK to 192.168.0.100. (Lease time = 86400)
Nov 23 18:18:36 DHCP: Server receive REQUEST from 00:1f:cf:52:7a:12.
Nov 23 18:00:31 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 23 17:38:16 DHCP: Server sending ACK to 192.168.0.100. (Lease time = 86400)
Nov 23 17:38:16 DHCP: Server receive REQUEST from 00:1f:cf:52:7a:12.
Nov 23 17:30:31 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 23 17:25:37 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 23 17:25:37 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.

Zeit Benachrichtigung
Nov 23 17:25:34 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)
Nov 23 17:25:34 DHCP: Server receive REQUEST from 00:18:de:73:0c:5a.
Nov 23 17:09:45 DHCP: Server sending ACK to 192.168.0.100. (Lease time = 86400)
Nov 23 17:09:45 DHCP: Server receive REQUEST from 00:1f:cf:52:7a:12.
Nov 23 17:09:45 DHCP: Server sending OFFER of 192.168.0.100.
Nov 23 17:09:45 DHCP: Server receive DISCOVER from 00:1f:cf:52:7a:12.
Nov 23 17:00:31 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 23 16:30:30 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 23 16:00:31 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 23 15:30:30 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Zeit Benachrichtigung
Nov 22 19:31:11 DHCP: Server sending ACK to 192.168.0.102. (Lease time = 86400)
Nov 22 19:31:11 DHCP: Server receive REQUEST from 00:25:a0:05:5a:c4.
Nov 22 19:31:11 DHCP: Server sending OFFER of 192.168.0.102.
Nov 22 19:31:11 DHCP: Server receive DISCOVER from 00:25:a0:05:5a:c4.
Nov 22 19:05:43 DHCP: Client receive ACK from 80.69.97.244, IP=95.222.74.153, Lease time=3600.
Nov 22 18:58:44 DHCP: Server sending ACK to 192.168.0.100. (Lease time = 86400)
Nov 22 18:58:44 DHCP: Server receive REQUEST from 00:1f:cf:52:7a:12.
Nov 22 18:58:44 DHCP: Server sending OFFER of 192.168.0.100.
Nov 22 18:58:44 DHCP: Server receive DISCOVER from 00:1f:cf:52:7a:12. Nov 22 18:51:31 DHCP: Server sending ACK to 192.168.0.101. (Lease time = 86400)


Ein Flooding Ping konnte ich nicht mehr in dem Protokoll finden.
Unter den Menschen
gibt es viel mehr Kopien
als ORIGINALE.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste