HILFE ! DoS Angriff auf meinen Router -.-

Kazuya

Kazuya

Enthusiast
Thread Starter
Mitglied seit
13.01.2011
Beiträge
3.983
Ort
an der AHR
Hey, also seid 3 tagen hab ich Probleme mit meinem Internet.

Ich hatte dem Telekom Support schon an der Hotline, da würde jetzt ein "Spezialist" dran arbeiten -.-
Sie haben alles Geprüft, ihre Leitung wäre ok.
Ich habe heute dann mal ein Firmware upgrade gemacht, das brachte ganze 2h stunden ruhe.
Ich schaute mir dann also auch mal die Logs vom Router an und siehe da :

11.07.2012 22:27:53 DoS(Denial of Service) Angriff UDP Flood to Host wurde entdeckt. (FW101)

Immer wenn das Passiert habe ich üble Laggs.
Oder mein Router bekommt nen DC.
PPPoE-Fehler: DSL- Synchronisierung verloren.(R013)

Ich warte jetzt wie gesagt schon 3 tage darauf das die Telekom was macht, passiert aber nichts außer das ich im Min Takt DC´s habe -.-

Wie kann ich mich dagegen Schützen`?

Greetz
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ne habe nichts am router gemacht außer die Ports zu öffnen damit bei COD MW3 Nat typ Mittel steht. ( ca. 2 wochen her)
Mein Rechner + 2 Smartphones sind das einzige was auf den Router zugreift.
Da ich mich nicht wirklich mit Netzwerken auskenne lasse ich auch die Finger davon^^
 
11.07.2012 22:27:53 DoS(Denial of Service) Angriff UDP Flood to Host wurde entdeckt da DDost dich wohl jemand um dich zu ärgern :O
 
Das ist ja nur ein Auszug, wo ich Heute nicht @ home war. 10-15Uhr. (Rechner war also aus) Waren die loggs auch voll damit.
Der Router hat sich insgesamt ca. 30 ausgeklickt nach den Angriffen.

Leider ist nichts mehr von den letzten 2 tagen zu sehen wegem dem Firmware Update.

Viren Programme lasse ich jetzt nochmals durchlaufen.

Werde das heute Nacht aber nochmals testen @ oNyX

Sollte es so sein das es damit weitergeht, kann man da nichts machen ? -.-
 
Um einen DDoS Angriff durchzuführen muß der Angreifer wissen, an welche IP Adresse dieser Angriff gehen soll. Der Spuk sollte vorbei sein, wenn Du Dir eine neue IP Adresse holst, meistens indem Du die Internetverbindung beendest und wiederherstellst. Gehen die DDoS Angriffe trotz neuer IP Adresse weiter, gibts drei Möglichkeiten:

- bei Dir läuft irgendwo ein Dienst, der Deine momentan aktuelle IP Adresse im Internet veröffentlicht (sog. DynDNS Dienste). Manche Software verschickt auch Emails.
- Dein Router wurde gehackt (wäre nicht das erste Mal daß Routerhersteller leicht zu erratende bzw. bekannte Paßwörter einsetzen, die von den Nutzern nicht ersetzt werden).
- Dein Router ist defekt.

Schau Dich mal im Freundes- und Bekanntenkreis nach einem weiteren Router um (nach Möglichkeit von einem anderen Routerhersteller), den Du Dir für zwei oder drei Tage ausleihen könntest, und verwende den mal statt Deines jetzigen Gerätes. Vorher natürlich Deine Zugangsdaten aus Deinem Router sowie die Netzwerkeinstellungen aufschreiben, falls nicht schon geschehen.

Der Ersatzrouter muß dann natürlich auch erst eingerichtet werden. Bei einigen Geräten stehen die Standard IP Adresse, Subnetzmaske, Standard Login und -paßwort irgendwo auf dem Gehäuse. Falls nicht, so mußt Du diese Angaben vom Kumpel oder Bekannten in Erfahrung bringen oder googelst erst danach. Dann stöpselst Du den "alten" Router ab, hängst den Ersatzrouter an den Rechner und richtest ihn ein.

Problematisch könnte vielleicht die Vergabe der IP Adressen im LAN werden. In einem solchen Fall kannst Du nicht auf den Ersatzrouter zugreifen. Hier kommen dann die Standard IP Adresse sowie die Subnetzmaske des Ersatzrouters ins Spiel.

Die Subnetzmaske (oftmals 255.255.255.0) muß bei allen Geräten identisch sein. Die IP Adresse muß ausschließlich im letzten Segment unterschiedlich sein. Hat der Router z.B. die IP 192.168.1.1, dann kannst Du Deinem Rechner manuell eine IP zwischen 192.168.1.2 und 192.168.1.254 zuweisen. Hat der Router aber z.B. 192.168.0.10, dann braucht Dein Rechner eine IP im Bereich 192.168.0.1 bis 192.168.0.9 oder 192.168.0.11 bis 192.168.0.254.

Ob sich Dein Rechner und der Ersatzrouter sehen, bringt man am Zuverlässigsten über die Kommandozeile via Ping in Erfahrung.

Start -> Ausführen -> cmd eingeben. Das öffnet das Fenster mit der Eingabeaufforderung. Darin gibst dann "ping *Router-IP*" ein, also z.B. "ping 192.168.0.1". Natürlich ohne die ". Wenn alles klappt, erhältst Du u.A. vier aufeinanderfolgende Zeilen, die mit "Antwort von *Router-IP*" anfangen.

Über den Browser würde ich so einen Ersttest nicht machen, denn der Browser kann fehlerhaft sein. Hatte ich letztens bei einem Kumpel. Er ruft an und schreit "Scheiß Gerät, nix geht, scheiß Hersteller, nicht mal eine Installations-CD packen die bei (wobei ich mich heute noch frage, wozu man Installations-CDs für Router braucht), von denen kaufe ich nie wieder". Er bringts vorbei, ich stöpsels an, Ping funktioniert, Browser klappt auch, alles bestens. Was war sein Fehler? Er hat sich sein Windows teilweise zerschossen, sodaß IE und FF nicht mehr richtig funktioniert haben und die Einrichtungsseite seines Routers unvollständig darstellten. Mit Chrome Portable gings dann.
 
Zuletzt bearbeitet:
Ha ich wollte grade posten da hast du schon gepostet^^

Ich hatte in der Nacht wieder 4x so einen angriff mit darauf folgendem dc.

Ich hab jetzt wiedermal mit dem Service telefoniert bzw haben die mich angerufen.
Morgen kommt ein Technicker, die haben das mit den Angriffen zur Kenntnis genommen, aber war dehnen irgendwie egal.

Ich hab leider keinen Ersatz Router hier, aber der Technicker morgen hoffentlich.
Werde trotzdem mal nachfragen ob wer noch einen hat.

Grade wars wieder soweit :

12.07.2012 10:01:39 DSL antwortet nicht(keine DSL-Synchronisierung).(R006)
12.07.2012 10:01:19 DSL-Synchronisation beginnt(Training).(R008)
12.07.2012 10:01:16 Internetverbindung wurde getrennt.(R009)
12.07.2012 10:01:10 PPPoE-Fehler: DSL- Synchronisierung verloren.(R013)
12.07.2012 10:01:00 Anmeldung der DSL-Telefonnummer (***********) war nicht erfolgreich. Ursache:dNS-Fehler. (V001)
12.07.2012 09:57:26 DoS(Denial of Service) Angriff UDP Flood to Host wurde entdeckt. (FW101)

Ich erhalte ja nach jedem DC ne neue IP, dauert nichts lang dann kommts wieder.

Router ist ein W504 a

Greetz
 
jeh nach größe des botnetz das dich da auf der abschussliste hat, wirste wenig bis garnichts dagegen tun können...
Da tun sich schon größere firmen mit mehreren servern und größerem budget schwer.

Lastverteilung wird wohl etw. schwer werden bei dir :d
Kannst du die IP's auslesen von denen der angriff ausgeht? wenn ja... wie viele verschiedene?
wenn wenige --> kannst du die sperren?

ansonsten mal bei der t-com anfragen ob sie dir ne neue ip-range zuweisen können. könnte vllt auch helfen
 
Das ist kein DoS Angriff. Wenn der Router sich neu synchronisiert liegt eher ein Hardwaredefekt vor (Gegenstelle, Leitung im Boden, Modemteil des Routers, Wackelkontakte an Klemmen oder Anschlüssen, Splitter, Kabel von der TAE Dose zum Splitter, Kabel vom Splitter zum Modem). Der PPPoE Verbindung liegt ja noch eine andere Verbindung zugrunde, der es salopp gesagt egal ist, wieviel und welche Daten übertragen werden, die also wirklich sehr fehlertolerant ist. Da diese Verbindung aber auch abbricht (der Router synchronisiert neu), muß die Ursache etwas anderes sein, was im Log des Routers "nur" falsch interpretiert wird.

Der Telekom Techniker wird bei Dir erscheinen und sein Standardmodem dranhängen. Dann gibts zwei Möglichkeiten:
1) Sein Modem bleibt synchron. In dem Fall hast Du tatsächlich irgendwo defekte Hardware. Beobachtet das Geschehen trotzdem mal 10 Minuten. Wenn er schnell wieder weg will biete ihm einen Kaffee an.
2) Sein Modem bleibt auch nicht synchron. Dann solltest Du auf eine andere Leitung umgeklemmt werden, falls eine frei ist.

Bei mir war vor vier Monaten letzteres der Fall. Disconnects im Minutenrhythmus. Bei mir hatte eine Nachbarleitung massivst reingestört und ich bekam eine andere Leitung.
 
Zuletzt bearbeitet:
Hmm, also hier im Haus hab nur ich und die unter uns DSL.
Es lief ja bis vor paar tagen alles, sauber. Hoffe das das morgen geklärt wird.

Greetz
 
DiePorts habe ich vor ca. 2 Wochen aufgemacht.
Die Probleme bestehen seid Anfang der Woche, habe die Ports aber auch gestern Abend wieder zugemacht.


Gesendet von meinem Nexus One mit der Hardwareluxx App
 
Ne ich Spiel net an Router Rum, der läuft einfach nur, zumindest sollte er das.

Jo morgen zwischen 12:00 und 18:00 kommt der Techniker ... was ne Zeitspanne -.-

Gesendet von meinem Nexus One mit der Hardwareluxx App
 
Naja ich wurde von underclocker2k4 gebeten nichts mehr zu dem thema zu posten, ich schreib dir gleich mal ne PM ;)
 
Für DoS Attacke schicken die nen Techniker raus? Und was will der bei dir machen? Gegen ne DoS hilft nichts, ausser ein riesen Filter, temporäres abschalten der IP oder ändern der IP...
 
Nascar schrieb:
Für DoS Attacke schicken die nen Techniker raus?
Zum Vergrößern anklicken....

nö, weil es garkeine DOS Attacke ist, sondern einfach nur ne DSL Störung.
Sein Upstream bricht weg, dadurch werden keine Antworten auf die eingehenden UDP Pakete mehr gesendet -> Router interpretiert das als DOS Attacke. Paar Minuten später merkt der Router dann endlich dass eigentlich die DSL Synch weg ist und connected neu.
 
Ah check check :d Man sollte den Thread auch komplett lesen
 
Falls der Techniker nicht die TAE-Dose gewechselt hat, kann man mal "Stecker links" probieren:
http://www.hardwareluxx.de/community/f67/problem-mit-dsl-2000-ram-telekom-891410.html

Das ist keine hohe Wissenschaft, sondern ein Bastlertrick mit der ganz kleinen Chance, dass sich die Verbindung eventuell um ein paar Dezibel verbessern kööönnte.

(Eigentlich möchte ich hier kaum etwas schreiben. Die Moderatoren gehen mir auf den Keks.)
 
Naja ich poste hier auch mal das was ich Bernd gepostet hab ;)

Also der Technicker hat mehrere Messungen gemacht (4), davon waren 3 Schlecht.
Dann hat er den Splitter getauscht mit dem selben Ergebnis.
Ich habe ihm von den Meldungen berichtet, was ihn doch sehr Verwundert hatte und meinte das das eher selten oder gar nicht bei Privat Haushalten passiert.
Er fragte mich dann ob ich nen Homeserver etc hätte usw.
Hab ich aber nicht.
Er konnte leider nicht viel mehr machen, er müsste das an die Höchste Instanz weiter geben und mir würde zur Sicherheit auch noch ein neuer Router zugeschickt werden.

Ich hab nun immernoch solche Meldungen von DoS Angriffe und Laggs die ich wärendessen bemerke, aber keine DC´s mehr.

Hoffe mal das der neue Router abbhilfe bringt.

Achja, ich kann bei dem Router nicht sehen welche IP´s darauf zugreifen etc.
Auch sehe ich nichts wo ich Dämpfund o.Ä. sehen sollte.

Greetz
 
Falls der Router ein W723V ist, dann kann man laut Handbuch anscheinend wirklich keine Verbindungsqualität auslesen. Das wäre unglaublich!
http://www.telekom.de/dlp/eki/downl...danl_Speedport_W_723V_Typ_B_Stand_12.2010.pdf

Aber vllt geht es doch:
Speedport W723V DMZ + WLAN abbrüche & Bug in Security - Speedport 700er-Serie - Forum Service

"Dies kann hier abgefragt werden:
https://speedport.ip/hcti_status_dsl.stm
(Vorher per Passwort am Speedport anmelden!) "

Was soll man denn vermuten, falls die Signaldaten wirklich nicht im Menü angezeigt werden?
 
Zuletzt bearbeitet:
Wie in Post #8 steht : es ist ein W504 ;)

der untereste Link funktioniert :
 
Zuletzt bearbeitet:
hab doch schon ein bild mit den daten gepostet ?^^
 
Ja, jetzt sehe ich ein Bild bei #25.
Das hätten wir bei #1 gebraucht.
Und wenn man das noch abschreibt...

Speedport W504V
Status-Details / DSL

Noise margin DSLAM 6,5 dB Downstream Modem 15,6 db Upstream

...dann findet das auch Google oder die Suchfunktion im Forum und dann kann vllt auch jemand etwas dazu sagen.

6,5dB finde ich beschissen.

---------- Post added at 22:09 ---------- Previous post was at 22:07 ----------

Und zum Abschluss gebe ich dir nochmals den Tipp von #22 mit dem TAE-Stecker und dem Küchenmesser...
 
Zuletzt bearbeitet:
Sollte es auch um die 15db beim Downstream sein`?

Ich hab keine Ahnung wofür die werte gut sind.
Ich schau morgen mal nach der TAE Dose, heute abend keine Lust mehr rumzufummeln, hatte aber wenigstens seid 17:00 keine DC´s mehr^^

Greetz
 
Hmm koennte der Wert auch so Niedrig sein weil der Router defekt ist ?
 
Ein solcher Wert liegt in der Regel in einer bescheidenen Leitung begründet.

6,5dB sind jetzt nicht besonders schön, reichen aber aus, wenn das der schlechteste Wert ist. Interessant wird es dann, wenn dieser Wert der Bestwert ist. Bei Einstreuungen kann sich dieser Wert dann verschlechtern, so dass die Con neu gesynct werden muß.

Es ist auch möglich, dass der Router eine Macke hat, das ist aber eher seltener der Fall.

Was du mal machen kannst, diesen Wert über das WE hinweg protokollieren. zB stündlich aufschreiben (auch den downstream notieren)
Dann kannst du sehen, wie sich das verändert.

Außerdem, wenn der Router ständig neu sync, sollte der irgendwann so weit runtergehen, dass wieder eine stabile Verbindung vorhanden ist.
(hast du den Router immer wieder neugestartet?)

Ich habe zB mir 6dB SNRM eine stabile Verbindung.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

Sm0kY88
Vigor167 und ASUS RT-AX5400 an 1&1 250k Leitung PPPoE Abbruch
Antworten
25
Aufrufe
836
Sm0kY88
Sm0kY88
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh