(D)DoS-Attacke auf meinen Router?
Hallo liebe GF-Community und Technikexperten,
Seit zwei Tagen habe ich im Ereignis-Logbuch meiner EasyBox 804 folgende Meldungen erhalten:
28.07.2016 02:29:45 Erkannter Angriff: TCP/UDP port scan Firewall
28.07.2016 02:12:32 Erkannter Angriff: UDP flood Firewall
28.07.2016 02:01:32 Erkannter Angriff: ICMP flood Firewall
Diese drei Meldungen erscheinen einzeln in einem Abstand von so je 5-20 Minuten zu jeder Zeit, auch Nachts wie ihr hier sehen könnt. Die Meldung "IMCP flood" kommt jedoch seltener vor.
Im Bild seht ihr nur ein Teil meines vollgespamten Logbuches. Die ersten Meldungen traten am 26.7.2016 um 20:35 auf, also vor zwei Tagen.
Die Stabilität meines Internetanschlusses leidet darunter, manchmal muss die Verbindung neugestartet werden.
Ist dies eine DDoS-Attacke auf meinen Anschluss? Was kann ich dagegen tun? Wie kann man diese kontinuierliche Attacke verhindern (möglichst ohne Geld)?
Bitte vor allem um Expertenantworten! Hilfreichste antwort garantiert!
8 Antworten
Der erste Eintrag zeigt an dass der Angreifer deinen Router nach Schwachstellen gescannt hat.
Die beiden anderen Sachen sind der eigentliche DoS Angriff, da ich annehme dass der Angreifer über mindestens einen Proxy geht, würde sich eine Sperre der IP von der die Packete kommen nichts bringen.
https://en.wikipedia.org/wiki/UDP_flood_attack
Zudem kann man die IP in den Packeten auch leicht spoofen.
Der Angreifer kennt aber aus irgendeinem Grund deine IP Adresse, vielleicht will dir ein bekannter einen Streich spielen, oder deine IP ist zB über einen DDNS Serivice mit einer Domain verknüpft etc, das Leute einfach zufällig IP Adressen DoSen ist eher selten.
Vielleicht hast du mit dem Angreifer schon mal per Skype telefoniert oder gechated, oder er ist sonst irgendwie an deine IP gekommen, vielleicht auch über eine Webseite oder einen Server den du in deinem Netzwerk betreibst etc, versuch in dieser Richtung mal zu ermitteln.
Ansonsten DoS angriffe sind Strafbar und du kannst dich bei der Polizei melden, bzw Rücksprache mit deinem ISP halten, vielleicht können die dir weiterhelfen und den Angreifer finden.
Wenn es Muster in den Angriffen gibt, wie immer selbe IP Adresse kannst du auch versuchen, diese Packete in der Firewall zu sperren und einfach zu verwerfen (Drop nicht Reject), dadurch verhinderst du das senden von ICMP Packeten an den Absender der UDP Packete, was zu einer Entlastung führt und den Angriff zumindest abschwächt.
Das muss entweder dein Router selber können, oder du fragst einfach mal bei deinem ISP nach.
Ich hab meine Internetverbindung über IPFire, darum kann ich da in den Logs einfach die IP nachsehen bzw auch ein IP Logging in der Firewall aktivieren etc.
Bei den typischen Routern welche du vom ISP bekommst sind die Einstellungsmöglichkeiten diesbezüglich nur relativ begrenzt und können oft nur vom ISP gemacht werden.
Hacker und Kriminelle setzen von Trojanern infizierte Computer (Bot's) sehr gerne ein, um nach neuen Opfern zu suchen. Dadurch, das nonstop Tausende von Bot's gleichzeitig schauen, ob Router oder PCs mit über dem Netz angreifbaren Sicherheitslücken erreichbar sind, ist es völlig normal, ständig gescannt zu werden.
Eine Distributed Denial of Service (DDos) - Attacke ist gekennzeichnet durch Tausende von Angriffen von vielen Bot's gleichzeitig, also viele tausend pro Minute. Das würde im Log etwas anders aussehen.
Aufgrund der bekannten "Qualität" von Easyboxen würde ich die Absturz-Ursache woanders vermuten. Auf jeden Fall sollte man kontrollieren, ob die Firmware des Routers aktuell ist. Wenn nicht, sofort die Konfiguration sichern und die neueste Firmware installieren!
Einfach Router aus und wieder an machen
Dann bekommst du eine neue IP-Adresse von deinem ISP zugeteilt, dadurch hat auch der Angreifer keinen Kontakt mehr zu dir
Mit ganz kurzem aus und wieder Anschalten ist es leider oft nicht getan, man abschalten und warten bis der DHCP Lease vorbei ist, dann wird vom DHCP Server beim Neustart einen neue IP vergeben.
Wie genau das allerdings beim ISP abläuft weiß ich auch nicht so ganz.
Mein Router verbindet sich um Mitternacht immer neu, hat aber meistens die selbe IP wie vorher, wenn ich den Router abschalte und einen Tag warte hat er eine andere IP, oder manchmal auch die selbe (sofern DHCP und Router die selbe wie vorher aushandeln).
Das ist gut zu wissen ^^
Dachte bis jetzt immer einmal an und wieder aus reicht, danke
Ich habe das gerade getan, also router an und aus und sogar vom netz für drei Minuten. Die IP veränderte sich dadurch leider nicht, daher denke ich, dass ich eine Statische IP habe.
Oder eher wie PeterKremsner schon meinte du länger warten muss.
Ein normaler Netzanschluss sollte eigentlich keine statische IP sein, die soll man sich für teuer Geld kaufen ;)
du solltest mal die internetverbindung von deinem router trennen. am besten hadwaremässig. also stecker raus. dann wieder stecker rein und schauen, ob sich die ip adresse geändert hat, wenn ja, dann mal beobachten, ob das ganze nachlässt / aufhört. wenn nein, dann ist es offensichtlich so, dass der router selbst schon infiziert ist. in dem fall würde ich raten, das gerät entweder zu säubern oder zu ersetzen.
meine empfehlung, was das säubern angeht, von einem sauberen anschluss aus die neue firmware samt installationstool herunter laden und mit einem ebenfalls sauberen rechner auf den router aufspielen, OHNE dass dieser dabei ans internet angeschlossen ist.
lg, Anna
Da hast du nicht Unrecht, das ist ein DDOS-Angriff, ICMP Flood: https://de.wikipedia.org/wiki/Smurf-Angriff
Daher solltest du das Problem suchen, dass die Person dich immer wieder findet, auch bei wechselnder IP. Hast du ein DDNS-Record eingerichtet oder hast du sonst einen Dienst, welcher deine IP für andere bereitstellt?
Sofern du einen DDNS-Dienst verwendest kann ja jeder dadurch deine IP herausfinden und dich so DDoSen, wobei das laut dem Wiki-Artikel auch eine Einstellungssache ist, wo die Firewall nicht richtig aktiv ist. Da du bei der EasyBox aber keine Einstellungen dazu hast bis auf ein/aus solltest du nur sicherstellen dass das eingeschaltet ist.
Man kann, soweit ich weiß, die IP-Adresse von E-Mail adressen ablesen. Meine Theorie ist dass ich jemanden in einem Onlinespiel so wütend gemacht habe dass er nach meinem Google-Account suchte um meine IP zu finden.
Witzig, wie viel Zeit sich manche leute vertreiben, um den Anschluss eines einzelnen anzugreifen.
Das ist korrekt, sofern du einen Mail-Client verwendest und nicht die Website. Windows Mail oder Thunderbird beispielsweise. Ansonsten sollte eigentlich keine IP-Adresse dabeistehen.
Auch musst du ja ersteinmal eine Mail an die Person geschrieben haben, da du nicht einfach so die IP-Adresse auslesen kannst unter Angabe der Mail-Adresse.
Ich habe keinem etwas geschrieben. Ich denke auch nicht, dass es notwendig ist, um die IP herauszufinden.
Vielen dank für die Antwort! Woher kann ich herausfinden, von welcher Adresse die Attacken kommen und wie kann ich diese dann sperren?