Frage von ExDe707, 321

(D)DoS-Attacke auf meinen Router?

Hallo liebe GF-Community und Technikexperten,

Seit zwei Tagen habe ich im Ereignis-Logbuch meiner EasyBox 804 folgende Meldungen erhalten:

28.07.2016 02:29:45 Erkannter Angriff: TCP/UDP port scan Firewall

28.07.2016 02:12:32 Erkannter Angriff: UDP flood Firewall

28.07.2016 02:01:32 Erkannter Angriff: ICMP flood Firewall

Diese drei Meldungen erscheinen einzeln in einem Abstand von so je 5-20 Minuten zu jeder Zeit, auch Nachts wie ihr hier sehen könnt. Die Meldung "IMCP flood" kommt jedoch seltener vor.

Im Bild seht ihr nur ein Teil meines vollgespamten Logbuches. Die ersten Meldungen traten am 26.7.2016 um 20:35 auf, also vor zwei Tagen.

Die Stabilität meines Internetanschlusses leidet darunter, manchmal muss die Verbindung neugestartet werden.

Ist dies eine DDoS-Attacke auf meinen Anschluss? Was kann ich dagegen tun? Wie kann man diese kontinuierliche Attacke verhindern (möglichst ohne Geld)?

Bitte vor allem um Expertenantworten! Hilfreichste antwort garantiert!

Hilfreichste Antwort - ausgezeichnet vom Fragesteller
von PeterKremsner, 247

Der erste Eintrag zeigt an dass der Angreifer deinen Router nach Schwachstellen gescannt hat.

Die beiden anderen Sachen sind der eigentliche DoS Angriff, da ich annehme dass der Angreifer über mindestens einen Proxy geht, würde sich eine Sperre der IP von der die Packete kommen nichts bringen.

https://en.wikipedia.org/wiki/UDP_flood_attack

Zudem kann man die IP in den Packeten auch leicht spoofen.

Der Angreifer kennt aber aus irgendeinem Grund deine IP Adresse, vielleicht will dir ein bekannter einen Streich spielen, oder deine IP ist zB über einen DDNS Serivice mit einer Domain verknüpft etc, das Leute einfach zufällig IP Adressen DoSen ist eher selten.

Vielleicht hast du mit dem Angreifer schon mal per Skype telefoniert oder gechated, oder er ist sonst irgendwie an deine IP gekommen, vielleicht auch über eine Webseite oder einen Server den du in deinem Netzwerk betreibst etc, versuch in dieser Richtung mal zu ermitteln.

Ansonsten DoS angriffe sind Strafbar und du kannst dich bei der Polizei melden, bzw Rücksprache mit deinem ISP halten, vielleicht können die dir weiterhelfen und den Angreifer finden.

Wenn es Muster in den Angriffen gibt, wie immer selbe IP Adresse kannst du auch versuchen, diese Packete in der Firewall zu sperren und einfach zu verwerfen (Drop nicht Reject), dadurch verhinderst du das senden von ICMP Packeten an den Absender der UDP Packete, was zu einer Entlastung führt und den Angriff zumindest abschwächt.

Kommentar von ExDe707 ,

Vielen dank für die Antwort! Woher kann ich herausfinden, von welcher Adresse die Attacken kommen und wie kann ich diese dann sperren?

Kommentar von PeterKremsner ,

Das muss entweder dein Router selber können, oder du fragst einfach mal bei deinem ISP nach.

Ich hab meine Internetverbindung über IPFire, darum kann ich da in den Logs einfach die IP nachsehen bzw auch ein IP Logging in der Firewall aktivieren etc.

Bei den typischen Routern welche du vom ISP bekommst sind die Einstellungsmöglichkeiten diesbezüglich nur relativ begrenzt und können oft nur vom ISP gemacht werden.

Antwort
von Peppie85, 172

du solltest mal die internetverbindung von deinem router trennen. am besten hadwaremässig. also stecker raus. dann wieder stecker rein und schauen, ob sich die ip adresse geändert hat, wenn ja, dann mal beobachten, ob das ganze nachlässt / aufhört. wenn nein, dann ist es offensichtlich so, dass der router selbst schon infiziert ist. in dem fall würde ich raten, das gerät entweder zu säubern oder zu ersetzen.

meine empfehlung, was das säubern angeht, von einem sauberen anschluss aus die neue firmware samt installationstool herunter laden und mit einem ebenfalls sauberen rechner auf den router aufspielen, OHNE dass dieser dabei ans internet angeschlossen ist.

lg, Anna

Antwort
von Inf0r4trix, 210

Einfach Router aus und wieder an machen

Dann bekommst du eine neue IP-Adresse von deinem ISP zugeteilt, dadurch hat auch der Angreifer keinen Kontakt mehr zu dir

Kommentar von PeterKremsner ,

Mit ganz kurzem aus und wieder Anschalten ist es leider oft nicht getan, man abschalten und warten bis der DHCP Lease vorbei ist, dann wird vom DHCP Server beim Neustart einen neue IP vergeben.

Wie genau das allerdings beim ISP abläuft weiß ich auch nicht so ganz.

Mein Router verbindet sich um Mitternacht immer neu, hat aber meistens die selbe IP wie vorher, wenn ich den Router abschalte und einen Tag warte hat er eine andere IP, oder manchmal auch die selbe (sofern DHCP und Router die selbe wie vorher aushandeln).

Kommentar von Inf0r4trix ,

Das ist gut zu wissen ^^

Dachte bis jetzt immer einmal an und wieder aus reicht, danke

Kommentar von ExDe707 ,

Ich habe das gerade getan, also router an und aus und sogar vom netz für drei Minuten. Die IP veränderte sich dadurch leider nicht, daher denke ich, dass ich eine Statische IP habe.

Kommentar von Inf0r4trix ,

Oder eher wie PeterKremsner schon meinte du länger warten muss.

Ein normaler Netzanschluss sollte eigentlich keine statische IP sein, die soll man sich für teuer Geld kaufen ;)

Antwort
von PinguinPingi007, 132

Router neustarten. Das ist ein DDoS-Angriff. IP-Adresse wird neu vergeben.

Falls nochmals eine DDoS-Attacke stattfindet, solltest du mal deine PCs mit einem Antivirenprogramm überprüfen, damit du weißt, dass keine "Daten" abfließen.

Für die Daten des Angreifers fragen sie bitte bei ihrem ISP nach.

Antwort
von derLordselbst, 140

Hacker und Kriminelle setzen von Trojanern infizierte Computer (Bot's) sehr gerne ein, um nach neuen Opfern zu suchen. Dadurch, das nonstop Tausende von Bot's gleichzeitig schauen, ob Router oder PCs mit über dem Netz angreifbaren Sicherheitslücken erreichbar sind, ist es völlig normal, ständig gescannt zu werden.

Eine Distributed Denial of Service (DDos) - Attacke ist gekennzeichnet durch Tausende von Angriffen von vielen Bot's gleichzeitig, also viele tausend pro Minute. Das würde im Log etwas anders aussehen.

Aufgrund der bekannten "Qualität" von Easyboxen würde ich die Absturz-Ursache woanders vermuten. Auf jeden Fall sollte man kontrollieren, ob die Firmware des Routers aktuell ist. Wenn nicht, sofort die Konfiguration sichern und die neueste Firmware installieren!

Antwort
von hanfmannlein, 124

Wenn es tatsächlich ein DDos sein sollte, trenne den router vom Netz und schau ob du eine neue IP zugewiesen bekommst.
Dann hast du keine Probleme mehr.

Zur Not kannst du beim Provider anrufen.

Expertenantwort
von SYSCrashTV, Community-Experte für Internet, 143

Da hast du nicht Unrecht, das ist ein DDOS-Angriff, ICMP Flood: https://de.wikipedia.org/wiki/Smurf-Angriff

Daher solltest du das Problem suchen, dass die Person dich immer wieder findet, auch bei wechselnder IP. Hast du ein DDNS-Record eingerichtet oder hast du sonst einen Dienst, welcher deine IP für andere bereitstellt?

Sofern du einen DDNS-Dienst verwendest kann ja jeder dadurch deine IP herausfinden und dich so DDoSen, wobei das laut dem Wiki-Artikel auch eine Einstellungssache ist, wo die Firewall nicht richtig aktiv ist. Da du bei der EasyBox aber keine Einstellungen dazu hast bis auf ein/aus solltest du nur sicherstellen dass das eingeschaltet ist.

Kommentar von ninamann1 ,

Danke für die Antwort 

Kommentar von ExDe707 ,

Man kann, soweit ich weiß, die IP-Adresse von E-Mail adressen ablesen. Meine Theorie ist dass ich jemanden in einem Onlinespiel so wütend gemacht habe dass er nach meinem Google-Account suchte um meine IP zu finden.

Witzig, wie viel Zeit sich manche leute vertreiben, um den Anschluss eines einzelnen anzugreifen.

Kommentar von SYSCrashTV ,

Das ist korrekt, sofern du einen Mail-Client verwendest und nicht die Website. Windows Mail oder Thunderbird beispielsweise. Ansonsten sollte eigentlich keine IP-Adresse dabeistehen.

Auch musst du ja ersteinmal eine Mail an die Person geschrieben haben, da du nicht einfach so die IP-Adresse auslesen kannst unter Angabe der Mail-Adresse.

Kommentar von ExDe707 ,

Ich habe keinem etwas geschrieben. Ich denke auch nicht, dass es notwendig ist, um die IP herauszufinden.

Antwort
von ninamann1, 141

Um einen DDoS Angriff durchzuführen muß der Angreifer wissen, an welche IP Adresse dieser Angriff gehen soll. Es sollte vorbei sein, wenn Du Dir eine neue IP Adresse erstellst

http://fast-ip-changer.giga.de/

Kommentar von hanfmannlein ,

Nein, das wird nicht funktionieren, da du so deine eigentliche IP nicht änderst.

Kommentar von ExDe707 ,

Genau, mit diesem Programm kann ich nur die IP-Adressen meiner Geräte ändern, was nichts bringt, da die attacke auf den Router erfolgt!

Genauer lesen beim nächsten mal!

Kommentar von ninamann1 ,

Hm, ich leite die Frage jetzt an einen Netzwerks Experten weiter 

Kommentar von Inf0r4trix ,

Das wird wirklich nicht funktionieren ^^

Kommentar von ninamann1 ,

Habe es weitergeleitet, bin schon auf seine Antwort gespannt

Kommentar von Inf0r4trix ,

Damit kannst du nur schnell deine IP-Adresse im privaten Netzwerk ändern. Deine öffentliche IP kannst du nicht gezielt ändern. Du kannst deinen Router ausstecken, um eine Neue zu bekommen.

Kommentar von ninamann1 ,

Und was ist , wenn ich eine statische Ip habe ?

Kommentar von Inf0r4trix ,

Mit dem Tool kannst du deine statische IP im lokalen/privaten Netz ändern. Wenn du einen DDNS-Service verwendest, hast du eh keine IP in dem Sinne (also kann man die DNS-Adresse nicht ändern) und deine öffentliche wird dir zugeteilt. Wenn du viel Geld für eine statische IP im Internet zahlen willst dann kannst du das machen, aber jeder normale Haushalt hat eine dynamische IP-Adresse

Kommentar von ninamann1 ,

Ich habe Kabel internet und somit einen statische die nicht geändert wird 

Kommentar von PeterKremsner ,

Nur weil du über Kabel im Internet bist hast du noch lange keine statische IP, die ist solange Statisch wie der DHCP Lease des ISP.

Eine statische IP gibt es auch aber die muss man meines Wissens beantragen extra.

Dann kannst du die statische IP extern auch nicht ändern, der ISP verwendet meistens statische DHCP Einträge dadurch wird deinem Router immer die selbe externe IP zugeordnet, auf diese Einstellungen hast du keinen Einfluss, das wird alles vom ISP gesteuert.

Solltest du dennoch deinem Router eine andere falsche externe IP zuordnen (sofern das über das PPP möglich ist und der ISP dann auch die Route zu deiner IP in seinem System hat) kann es auf Seite des ISP dazu kommen, dass die Statische IP deines Routers in die DHCP Range deines ISP fällt, wenn der DHCP Server dann die IP vergibt, gibt es ein Problem, du legst damit effektiv deine und die Internetverbindung eines anderen Lahm, das könnte man dann auch schon fast als DoS angriff sehen.

Keine passende Antwort gefunden?

Fragen Sie die Community