DOS Attacken auf meinen Router

Gunslinger42

Newbie
Dabei seit
Okt. 2019
Beiträge
6
Moin!

Ich habe seit ein paar Tagen das Problem, dass das Ereignisprotokoll meines Routers anzeigt das Dos Attacken statt finden.
Immer mal wieder hakt und spinnt das Internet seitdem. Ich habe mir schon einen Wolf gegoogelt und sämtliche Seiten durchgelesen,
aber alle "Hilfe" die ich gefunden habe, erfordert eine ganze Menge Grundwissen zu diesen Themen.

Ich habe bereits den Router neugestartet, alle Passwörter geändert und meinen Internetanbieter kontaktiert (die bloß gesagt haben es sei alles in Ordnung). Nichts hat bisher geholfen.

Ich hoffe jemand kann mir (dem absoluten Laien) helfen. Danke im Vorraus!

Lg

Hier eine der Nachrichten aus dem Protokoll:

DoS Attack UDP-Flooding IN=brlan0
OUT= PHYSIN=wlan0_0
MAC=9c:c8:fc:21:89:53:8c:f5:a3:03:80:72:08:00
SRC=192.168.0.53 DST=192.168.0.1 LEN=65
TOS=0x00 PREC=0x00 TTL=64 ID=38716 DF
PROTO=UDP SPT=54853 DPT=53 LEN=45

Kategorie: Firewall
 

Tramizu

Captain
Dabei seit
Sep. 2014
Beiträge
3.343
Ich würde erst mal das System nach Maleware und Viren durchsuchen.
Irgendeine Software installiert, seit dem das Problem auftritt?
 

Twostone

Captain
Dabei seit
Dez. 2013
Beiträge
3.875

KnolleJupp

Fleet Admiral
Dabei seit
Juni 2007
Beiträge
15.375
Hier eine der Nachrichten aus dem Protokoll
So ein Protokoll muss man auch richtig lesen können... ;)

Das ist mit an Sicherheit grenzender Wahrscheinlichkeit kein "Angriff" von außen.
(Spätestens wenn sich der Router neu verbindet und eine neue öffentliche IP erhält, müssten die Probleme ja sofort aufhören.)
Sondern eines deiner mit dem Router verbundenen Geräte bombadiert den Router mit z.B. DNS- oder DHCP-Anfragen...

Ich würde als erstes mal prüfen ob die MAC-Adresse "9c:c8:fc:21:89:53:8c:f5:a3:03:80:72:08:00" zum LAN- oder WLAN-Adapter eines deiner eigenen Geräte gehört.
Bzw. welchem Gerät gerade die IP-Adresse 192.168.0.53 zugeteilt ist. Dann hast du den Bösewicht...

Die 192.168.0.1 wird wohl die IP-Adresse des Routers sein, schätze ich.

Dann würde ich dieses Gerät als erstes auf Schadbefall prüfen. Evtl. ist auch der LAN- oder WLAN Anschluss dieses Geräts einfach defekt.
 
Zuletzt bearbeitet:

-Razzer-

Captain
Dabei seit
Feb. 2011
Beiträge
3.674
Sieht für mich auch eher nach einem Gerät in deinem Netzwerk aus:
SRC=192.168.0.53 DST=192.168.0.1

Quelle: IP mit der 53 am Ende und Ziel die 1 (dein Router?)
 

DeusoftheWired

Fleet Admiral
Dabei seit
Juni 2009
Beiträge
10.229

KnolleJupp

Fleet Admiral
Dabei seit
Juni 2007
Beiträge
15.375
Dann könnte der Verursacher vielleicht ein Sat-/Kabel-Receiver sein oder vielleicht ein DVD/Blu-ray Player.
 
Zuletzt bearbeitet:

teufelernie

Lt. Commander
Dabei seit
Sep. 2004
Beiträge
1.820
Es kann auch auf der 192.168.0 .53 in deinem lokalen Netz ein infiziertes Gerät sein, was einen DNS-Tunnel zu einem Kontrollserver oder so aufbaut. Da DNS fast überall klappt, ist es derzeit besonders "in" DNS-Tunnel in einer vermeindlich abgeschirmten Umgebung zu nutzen.
 

hildefeuer

Captain
Dabei seit
Okt. 2009
Beiträge
3.607
ja wer ist denn SRC=192.168.0.53 ? Da muss man suchen. Oder man nimmt die MAC Adresse.....
Wenn man den stromlos macht, müsste es aufhöhren oder LAN Kabel raus oder WLAN deaktiviern.
 

Gunslinger42

Newbie
Ersteller dieses Themas
Dabei seit
Okt. 2019
Beiträge
6
Das Problem besteht immernoch und ich kann nichts in meinem System finden was es auslösen könnte... :(
 

KnolleJupp

Fleet Admiral
Dabei seit
Juni 2007
Beiträge
15.375
Wenn das Protokoll immer noch so aussieht wie im Eingangsbeitrag, welchem deiner Geräte ist denn die IP-Adresse 192.168.0.53 zugewiesen?
Wir haben auch schon vermutet das es sich dabei um einen Sat-/Kabel-Receiver oder einen DVD/Blu-ray Player handeln könnte.
 
Zuletzt bearbeitet:

Twostone

Captain
Dabei seit
Dez. 2013
Beiträge
3.875
Nun, irgend etwas (auf dem Rechner/Gerät mit der IP 192.168.0.53) startet genug DNS-Abfragen (an Deinen Router, 192.168.0.1), daß der sich genötigt fühlt, dies als "Angriff" zu werten.

Also: Gerät mit der Adresse identifizieren, schauen, was darauf läuft und welcher Prozess welche Anfragen in welchem Zeitraum stellt.

Bitte auch mal die Frage beantworten, um was für ein Gerät es sich bei der Adresse *.53 handelt.
 

KnolleJupp

Fleet Admiral
Dabei seit
Juni 2007
Beiträge
15.375
Wenn man sich das Protokoll ansieht, dann steht da übersetzt:
Das Gerät mit der IP-Adresse 192.168.0.53 schickt so unüblich viele DNS-Anfragen an deinen Router (mit der IP-Adresse 192.168.0.1) das der Router diese Anfragen als Angriff (fehl)interpretiert.

MAC=9c:c8:fc:21:89:53:8c:f5:a3:03:80:72:08:00
SRC=192.168.0.53 DST=192.168.0.1
(SCR steht für source, DST steht für destination.)

Das Gerät dessen Netzwerkanschluss die MAC-Adresse 9c:c8:fc:21:89:53:8c:f5:a3:03:80:72:08:00 besitzt
und dem der Router zu diesem Zeitpunkt die IP-Adresse 192.168.0.53 zugewiesen hat, ist der Verursacher der Probleme.

Welchem deiner netzwerkfähigen Geräte ist die IP-Adresse 192.168.0.53 zugewiesen? Das Gerät steckst du aus/schaltst du ab. Dann sollten die Probleme weg sein.
Ob es sich dabei um eine Falschkonfiguration handelt oder um einen Hardware-Defekt dieses Gerätes, kann man erst abschätzen wenn man weiß was für ein Gerät das ist.

Das kann alles mögliche sein das über LAN oder WLAN mit dem Router verbunden ist.
Ein Rechner, ein Handy, ein Tablet, ein Laptop, ein NAS, ein DVD/Blu-ray Player, eine Spielekonsole, ein Sat-/Kabel-Receiver, ein A/V-Receiver, ein Drucker, ein Repeater,
ein Access-Point, irgendein "SmartHome"-Gerät wie Amazon Fire TV, nVidia Shield, Amazon Echo, Google Home oder irgendetwas anderes mit Netzwerkanschluss.

Die MAC-Adresse weist auf das Unternehmen Arris International hin.
Die vertreiben hauptsächlich Kabelmodems und Set-Top-Boxen, also z.B. Sat-/Kabel-Receiver.
Besitzt du zufällig einen Sat- oder Kabelreceiver des Pay-TV Anbieters Sky?

Läuft die Zuweisung der IP-Adressen über DHCP des Routers, muss die 192.168.0.53 auch nicht mehr die aktuelle IP-Adresse des Störers sein.
Also in das aktuelle Protokoll schauen was dort steht.
 
Zuletzt bearbeitet:

DeusoftheWired

Fleet Admiral
Dabei seit
Juni 2009
Beiträge
10.229
Jetzt hat man dich drölfmal gefragt, welches Gerät die 192.168.0.53 hat, und das einzige, was du schreibst, ist, daß das Problem weiter besteht. :freak:
 

VirusA87

Ensign
Dabei seit
Apr. 2009
Beiträge
225
ich kann nichts in meinem System finden was es auslösen könnte
Bei der Masse an Informationen und guten Rückmeldungen können wir da auch nur schwer etwas finden. :rolleyes:

Im Router kannst du ja in der regel nachschauen welche Netzwerkgeräte momentan verbunden sind. Einfach ein Gerät nach dem anderen anschließen und wieder nachschauen. Eventuell etwas warten oder Seite neuladen damit diese aktualliesiert wird.
Bei Windowsrechnern kannst du auch einfach in der Eingabeaufforderung mit derm Befehl ipconfig nachschauen welche IP der Rechner hat.

Ansonsten bleibt uns nur noch Raten übrig.
Also Rate ich mal:
Dein Provider ist Vodafon (bzw. Unitymedia)
Und 192.168.0.53 ist ein Windowsrechner auf dem Rainbow Six Siege gespielt wird.
Kannst mich ja aufklären ob das gut oder schlecht geraten war. :rolleyes:
 
Top