PING-FLOODING flooding attack from WAN

[Mephist0]

Tag zusammen,

seit ein paar Tagen ist mein Router ständigen DDoS Attacken ausgesetzt, die immer im 5 Sekunden Takt ausgeführt (oder alle 5 Sekunden angezeigt) werden.
Rausgefunden habe ich das durch immer wieder auftretene kleine Disconnects für ein paar Sekunden, da der Router sich scheinbar unter der Belastung häufiger neustartet (obwohl WAN-Pings geblockt werden).
Im Routerprotokoll stehen ständig solche Meldungen:

Oct 11 14:37:33 PING-FLOODING flooding attack from WAN (ip:92.224.2.29) detected.
Oct 11 14:37:27 PING-FLOODING flooding attack from WAN (ip:92.224.2.29) detected.
Oct 11 14:37:24 PING-FLOODING flooding attack from WAN (ip:92.224.2.29) detected.
Oct 11 14:37:13 PING-FLOODING flooding attack from WAN (ip:88.153.238.20) detected.
Oct 11 14:37:07 PING-FLOODING flooding attack from WAN (ip:88.153.238.20) detected.
Oct 11 14:37:04 PING-FLOODING flooding attack from WAN (ip:88.153.238.20) detected.
Oct 11 14:36:53 PING-FLOODING flooding attack from WAN (ip:178.202.242.69) detected.
Oct 11 14:36:48 PING-FLOODING flooding attack from WAN (ip:178.202.242.69) detected.
Oct 11 14:36:44 PING-FLOODING flooding attack from WAN (ip:178.202.242.69) detected.
Oct 11 14:36:34 PING-FLOODING flooding attack from WAN (ip:88.152.1.197) detected.

Die IP-Adressen sind scheinbar willkürlich generiert, da ab und zu auch mal welche aus dem privaten A-Netz dabei sind, oder auch gerne mal meine eigene IP des Rechners (auch wenn der Rechner heruntergefahren ist). Die oben ist aus Arizona, heute morgen war auch Berlin und Russland dabei.

Der Router ist ein DIR-600, gestellt von Unitymedia (Kabel-Internet) und das Problem ist durchaus auch anderen Nutzern des Routers bekannt, allerdings wird nirgendwo eine Lösung oder eine definitive Ursache des Problems gefunden.

Was ich bereits probiert habe:
- Router neu aufgespielt
- Router geupdated
- Modem (von Unitymedia) resettet
- Wireshark mitlaufen lassen (teilweise kommen ICMPs vom eigenen PC, warum auch immer)
- darauf hin Malwarebytes und Kaspersky suchen lassen, ohne Fund
- Unitymedia angerufen (Modem zeigt keine Auffälligkeiten, alles super, sonst keine Tipps)
- MAC-Filter aktiviert
- WAN-Pings geblockt
- QoS deaktiviert
- DHCP deaktiviert

Wireshark zeigt ungewöhnlich viele ICMPs von meinem PC aus an, auch nach dem Virenscan etc.
Allerdings tauchen die ICMPs beim Router auch auf, wenn ich meinen PC ausschalte und das Protokoll per iPhone ablese.

Alles in allem bin ich total überfragt, woher das kommen kann.
Am wahrscheinlichsten scheint wohl ein tatsächlicher Pingflood-Attack von außen, den der Router, trotz geblockten WAN-Pings, in die Knie zwingt.

Wäre schön, wenn jemand weiter weiß.


Grüße, Mephisto.

 

[Nero Atreides]

Witzig, hatte die Tage dieselbe Meldung bei mir (Vodafone / Arcor DSL 16000). Kam bei mir daher, dass Vodafone versucht hatte, meinen Port von ADSL2+ auf VDSL per Remote umzustellen, das nicht geklappt hatte, und dann haben die ebenfalls remote versucht, rauszufinden, was ich für Geräte dran hängen habe (die können nur bis zum Modem gehen, in meinem Fall eine EasyBox 803).

 

[brat.wurst]

moin moin,
ich würd den router/modem einfach mal ein paar minuten länger vom strom abgestöpselt lassen und dannach prüfen, dass/ob du eine neue IP bekommen hast.
sofern du keinen DNS alias hast, sollten die pings dann ja sonst wohin laufen, aber nicht mehr zu dir.
dass dein rechner mal ICMPs durch die gegend schickt, ist nichts besonderes. es gibt ja viele typen von ICMP und auch diverse tools/apps die dieses protokoll nutzen (nicht nur um die erreichbarkeit von anderen devices zu prüfen).
grüße

 

[marcol1979]

Blödes Kabel-Internet mit seinen DHCP-Adressen und langer Lease-Time, da kann man nicht mal so einfach eine neue IP bekommen!

Nutzt du DynDNS oder sowas ?
Mal nachgeschaut wo die IP Adressen liegen ?

 

[SharenZ]

Du kannst ja mal mit Wireshark schauen, ob dein Rechner wirklich ICMP-Requests an den Router schickt und wenn ja, wieviele (geht über einen displayfilter ("icmp") und der Summaryfunktion unter Statistics am einfachsten.

Grundsätzlich können von außen keine Pakete mit privaten Ips daherkommen, da diese nicht geroutet werden.

 

[humpfl]

Du kannst i.d.R. eine neue IP erzwingen:

1. Kabelmodem ausschalten
2. MAC-Adresse des Gerätes hinter dem Modem (Router) ändern.
3. Kabelmodem wieder einschalten

==> neue IP

 

[marcol1979]

MAC-Adresse des Gerätes hinter dem Modem (Router) ändern.

Die Kommunikation läuft aber erst mal zwischen ISP und Modem ab, von daher müsstest die MAC des Modems ändern.

 

[Mephist0]

Neue IP habe ich gestern schon gekriegt, hat leider keine Änderung gebracht. Zumindest war die Zuweisung DynDNS mit dem Stand von gestern eine andere IP als meine aktuelle, kann also nicht mehr aktiv sein die Weiterleitung.

Mein Wireshark zeigt mir an, dass mein PC ebenfalls alle 5 Sekunden einen Ping an den Router sendet, jedes mal mit einer Fehlerhaften Checksumme im IPv4-Header (ist immer 0x0000).

Habe auch alle Programme bis auf Wireshark und das AVP ausgestellt, um zu gucken, ob die Pings dann aufhören, allerdings ist das nicht der Fall.

Aber danke schonmal für die Antworten !

Noch weitere Ideen?



//EDIT: Gerade gesehen: Im Protokoll steht "Kaspersky Ping Data" als Klartext...... Warum sollte Kaspersky alle 5 Sekunden den Router anpingen?

//EDIT: Auch wenn ich Kaspersky ausstelle, gehen die WAN-Pings weiter. Die von Wireshark abgefangenen Pings von Kaspersky setzen logischerweise aus.

 

[brat.wurst]

du sagst du hast nen dynDNS? wenn dem so ist, dann kannst du deine IP ändern wie du willst, weil die (WAN)Pings als ziel den DNS alias haben und nicht die IP.

wie gesagt, die pings deines PC im LAN würde ich vernachlässigen... alternativ kannst du noch 10000........... dinge von programmen hinterfragen, was/wieso/und überhaupt die dieses und jenes machen. vielleicht püfts einfach nur die verfügbarkeit deines gateways... um dann ggf. updates zu machen oder sonstwas.

 

[marcol1979]

Wenn du DynDNS hast deaktiviere das mal und schau ob du dann immer noch gefloodet wirst.
Denn mit DynDNS kannst deine IP ändern wie du willst wenn sie dich über die Domain anpingen.

 

[Mephist0]

Entschuldigung, war etwas unklar ausgedrückt. Der DynDNS-Dienst ist ebenfalls deaktiviert, sowohl am Router als auch im Webinterface von DynDNS selber. Kann also auch nicht der Grund sein....

 

[brat.wurst]

hast du getestet, dass du aktuell auch nicht über deine dynDNS adresse erreichbar bist?

UND evtl noch hilfreich: ist die zieladresse explizit deine WAN IP adresse? oder ist das evtl irgendeine multicast/broadcast adresse?

 

[Mephist0]

DynDNS ist nicht mehr erreichbar, getestet !

Wie schon geschrieben, die IP Adressen mixen wild durch und sind von überall auf der Welt.

 

[humpfl]

Die Kommunikation läuft aber erst mal zwischen ISP und Modem ab, von daher müsstest die MAC des Modems ändern.

Sorry, aber da liegst du falsch. Es hängt nicht an der MAC-Adresse des Modems. Die ist m.W. auch nicht änderbar.

 

[brat.wurst]

sofern du das modem nicht physisch tauschst, bleibt die mac die gleiche, jub.

 

[wupi]

Soweit die Theorie.

 

[brat.wurst]

und weiter... ?

 

[wupi]

Bei manchen Modems und Routern etc. kann man die MAC sehr wohl ändern.

 

[brat.wurst]

indem man nen anderen port nutzt? oder wie funzt das dann? hast du nen beispiel?
sry wegen OT^^

 

[wupi]

Per Webinterface z.B.