Mephist0
Ensign
- Registriert
- Okt. 2007
- Beiträge
- 146
Tag zusammen,
seit ein paar Tagen ist mein Router ständigen DDoS Attacken ausgesetzt, die immer im 5 Sekunden Takt ausgeführt (oder alle 5 Sekunden angezeigt) werden.
Rausgefunden habe ich das durch immer wieder auftretene kleine Disconnects für ein paar Sekunden, da der Router sich scheinbar unter der Belastung häufiger neustartet (obwohl WAN-Pings geblockt werden).
Im Routerprotokoll stehen ständig solche Meldungen:
Oct 11 14:37:33 PING-FLOODING flooding attack from WAN (ip:92.224.2.29) detected.
Oct 11 14:37:27 PING-FLOODING flooding attack from WAN (ip:92.224.2.29) detected.
Oct 11 14:37:24 PING-FLOODING flooding attack from WAN (ip:92.224.2.29) detected.
Oct 11 14:37:13 PING-FLOODING flooding attack from WAN (ip:88.153.238.20) detected.
Oct 11 14:37:07 PING-FLOODING flooding attack from WAN (ip:88.153.238.20) detected.
Oct 11 14:37:04 PING-FLOODING flooding attack from WAN (ip:88.153.238.20) detected.
Oct 11 14:36:53 PING-FLOODING flooding attack from WAN (ip:178.202.242.69) detected.
Oct 11 14:36:48 PING-FLOODING flooding attack from WAN (ip:178.202.242.69) detected.
Oct 11 14:36:44 PING-FLOODING flooding attack from WAN (ip:178.202.242.69) detected.
Oct 11 14:36:34 PING-FLOODING flooding attack from WAN (ip:88.152.1.197) detected.
Die IP-Adressen sind scheinbar willkürlich generiert, da ab und zu auch mal welche aus dem privaten A-Netz dabei sind, oder auch gerne mal meine eigene IP des Rechners (auch wenn der Rechner heruntergefahren ist). Die oben ist aus Arizona, heute morgen war auch Berlin und Russland dabei.
Der Router ist ein DIR-600, gestellt von Unitymedia (Kabel-Internet) und das Problem ist durchaus auch anderen Nutzern des Routers bekannt, allerdings wird nirgendwo eine Lösung oder eine definitive Ursache des Problems gefunden.
Was ich bereits probiert habe:
- Router neu aufgespielt
- Router geupdated
- Modem (von Unitymedia) resettet
- Wireshark mitlaufen lassen (teilweise kommen ICMPs vom eigenen PC, warum auch immer)
- darauf hin Malwarebytes und Kaspersky suchen lassen, ohne Fund
- Unitymedia angerufen (Modem zeigt keine Auffälligkeiten, alles super, sonst keine Tipps)
- MAC-Filter aktiviert
- WAN-Pings geblockt
- QoS deaktiviert
- DHCP deaktiviert
Wireshark zeigt ungewöhnlich viele ICMPs von meinem PC aus an, auch nach dem Virenscan etc.
Allerdings tauchen die ICMPs beim Router auch auf, wenn ich meinen PC ausschalte und das Protokoll per iPhone ablese.
Alles in allem bin ich total überfragt, woher das kommen kann.
Am wahrscheinlichsten scheint wohl ein tatsächlicher Pingflood-Attack von außen, den der Router, trotz geblockten WAN-Pings, in die Knie zwingt.
Wäre schön, wenn jemand weiter weiß.
Grüße, Mephisto.
seit ein paar Tagen ist mein Router ständigen DDoS Attacken ausgesetzt, die immer im 5 Sekunden Takt ausgeführt (oder alle 5 Sekunden angezeigt) werden.
Rausgefunden habe ich das durch immer wieder auftretene kleine Disconnects für ein paar Sekunden, da der Router sich scheinbar unter der Belastung häufiger neustartet (obwohl WAN-Pings geblockt werden).
Im Routerprotokoll stehen ständig solche Meldungen:
Oct 11 14:37:33 PING-FLOODING flooding attack from WAN (ip:92.224.2.29) detected.
Oct 11 14:37:27 PING-FLOODING flooding attack from WAN (ip:92.224.2.29) detected.
Oct 11 14:37:24 PING-FLOODING flooding attack from WAN (ip:92.224.2.29) detected.
Oct 11 14:37:13 PING-FLOODING flooding attack from WAN (ip:88.153.238.20) detected.
Oct 11 14:37:07 PING-FLOODING flooding attack from WAN (ip:88.153.238.20) detected.
Oct 11 14:37:04 PING-FLOODING flooding attack from WAN (ip:88.153.238.20) detected.
Oct 11 14:36:53 PING-FLOODING flooding attack from WAN (ip:178.202.242.69) detected.
Oct 11 14:36:48 PING-FLOODING flooding attack from WAN (ip:178.202.242.69) detected.
Oct 11 14:36:44 PING-FLOODING flooding attack from WAN (ip:178.202.242.69) detected.
Oct 11 14:36:34 PING-FLOODING flooding attack from WAN (ip:88.152.1.197) detected.
Die IP-Adressen sind scheinbar willkürlich generiert, da ab und zu auch mal welche aus dem privaten A-Netz dabei sind, oder auch gerne mal meine eigene IP des Rechners (auch wenn der Rechner heruntergefahren ist). Die oben ist aus Arizona, heute morgen war auch Berlin und Russland dabei.
Der Router ist ein DIR-600, gestellt von Unitymedia (Kabel-Internet) und das Problem ist durchaus auch anderen Nutzern des Routers bekannt, allerdings wird nirgendwo eine Lösung oder eine definitive Ursache des Problems gefunden.
Was ich bereits probiert habe:
- Router neu aufgespielt
- Router geupdated
- Modem (von Unitymedia) resettet
- Wireshark mitlaufen lassen (teilweise kommen ICMPs vom eigenen PC, warum auch immer)
- darauf hin Malwarebytes und Kaspersky suchen lassen, ohne Fund
- Unitymedia angerufen (Modem zeigt keine Auffälligkeiten, alles super, sonst keine Tipps)
- MAC-Filter aktiviert
- WAN-Pings geblockt
- QoS deaktiviert
- DHCP deaktiviert
Wireshark zeigt ungewöhnlich viele ICMPs von meinem PC aus an, auch nach dem Virenscan etc.
Allerdings tauchen die ICMPs beim Router auch auf, wenn ich meinen PC ausschalte und das Protokoll per iPhone ablese.
Alles in allem bin ich total überfragt, woher das kommen kann.
Am wahrscheinlichsten scheint wohl ein tatsächlicher Pingflood-Attack von außen, den der Router, trotz geblockten WAN-Pings, in die Knie zwingt.
Wäre schön, wenn jemand weiter weiß.
Grüße, Mephisto.