DOS Attacken auf meinen Router

[Gunslinger42]

Moin!

Ich habe seit ein paar Tagen das Problem, dass das Ereignisprotokoll meines Routers anzeigt das Dos Attacken statt finden.
Immer mal wieder hakt und spinnt das Internet seitdem. Ich habe mir schon einen Wolf gegoogelt und sämtliche Seiten durchgelesen,
aber alle "Hilfe" die ich gefunden habe, erfordert eine ganze Menge Grundwissen zu diesen Themen.

Ich habe bereits den Router neugestartet, alle Passwörter geändert und meinen Internetanbieter kontaktiert (die bloß gesagt haben es sei alles in Ordnung). Nichts hat bisher geholfen.

Ich hoffe jemand kann mir (dem absoluten Laien) helfen. Danke im Vorraus!

Lg

Hier eine der Nachrichten aus dem Protokoll:

DoS Attack UDP-Flooding IN=brlan0
OUT= PHYSIN=wlan0_0
MAC=9c:c8:fc:21:89:53:8c:f5:a3:03:80:72:08:00
SRC=192.168.0.53 DST=192.168.0.1 LEN=65
TOS=0x00 PREC=0x00 TTL=64 ID=38716 DF
PROTO=UDP SPT=54853 DPT=53 LEN=45

Kategorie: Firewall

 

[Tramizu]

Ich würde erst mal das System nach Maleware und Viren durchsuchen.
Irgendeine Software installiert, seit dem das Problem auftritt?

 

[Twostone]

Da ist eher was faul in Deinem eigenen Netz.

UDP-Flooding IN=brlan0

 

[KnolleJupp]

Hier eine der Nachrichten aus dem Protokoll

So ein Protokoll muss man auch richtig lesen können...

Das ist mit an Sicherheit grenzender Wahrscheinlichkeit kein "Angriff" von außen.
(Spätestens wenn sich der Router neu verbindet und eine neue öffentliche IP erhält, müssten die Probleme ja sofort aufhören.)
Sondern eines deiner mit dem Router verbundenen Geräte bombadiert den Router mit z.B. DNS- oder DHCP-Anfragen...

Ich würde als erstes mal prüfen ob die MAC-Adresse "9c:c8:fc:21:89:53:8c:f5:a3:03:80:72:08:00" zum LAN- oder WLAN-Adapter eines deiner eigenen Geräte gehört.
Bzw. welchem Gerät gerade die IP-Adresse 192.168.0.53 zugeteilt ist. Dann hast du den Bösewicht...

Die 192.168.0.1 wird wohl die IP-Adresse des Routers sein, schätze ich.

Dann würde ich dieses Gerät als erstes auf Schadbefall prüfen. Evtl. ist auch der LAN- oder WLAN Anschluss dieses Geräts einfach defekt.

 

[-Razzer-]

Sieht für mich auch eher nach einem Gerät in deinem Netzwerk aus:
SRC=192.168.0.53 DST=192.168.0.1

Quelle: IP mit der 53 am Ende und Ziel die 1 (dein Router?)

 

[DeusoftheWired]

MAC=9c:c8:fc:21:89:53:8c:f5:a3:03:80:72:08:00

https://macvendors.com/ weist die MAC als zu Arris International gehörend aus. Die stellen Settopboxen und DOCSIS-Modems her. Wenn du nicht weißt, welches deiner Geräte die IP 192.168.0.53 hat, hast du damit einen weiteren Anhaltspunkt. Stöpsele es vom Netzwerk ab und du wirst sehen, daß die Fehlermeldungen des Routers verschwinden.

 

[Raijin]

Geräte bombadiert den Router mit z.B. DNS- oder DHCP-Anfragen...

Es handelt sich offenbar um DNS:

DPT=53

 

[KnolleJupp]

Dann könnte der Verursacher vielleicht ein Sat-/Kabel-Receiver sein oder vielleicht ein DVD/Blu-ray Player.

 

[teufelernie]

Es kann auch auf der 192.168.0 .53 in deinem lokalen Netz ein infiziertes Gerät sein, was einen DNS-Tunnel zu einem Kontrollserver oder so aufbaut. Da DNS fast überall klappt, ist es derzeit besonders "in" DNS-Tunnel in einer vermeindlich abgeschirmten Umgebung zu nutzen.

 

[hildefeuer]

ja wer ist denn SRC=192.168.0.53 ? Da muss man suchen. Oder man nimmt die MAC Adresse.....
Wenn man den stromlos macht, müsste es aufhöhren oder LAN Kabel raus oder WLAN deaktiviern.

 

[Gunslinger42]

Das Problem besteht immernoch und ich kann nichts in meinem System finden was es auslösen könnte...

 

[KnolleJupp]

Wenn das Protokoll immer noch so aussieht wie im Eingangsbeitrag, welchem deiner Geräte ist denn die IP-Adresse 192.168.0.53 zugewiesen?
Wir haben auch schon vermutet das es sich dabei um einen Sat-/Kabel-Receiver oder einen DVD/Blu-ray Player handeln könnte.

 

[Twostone]

Nun, irgend etwas (auf dem Rechner/Gerät mit der IP 192.168.0.53) startet genug DNS-Abfragen (an Deinen Router, 192.168.0.1), daß der sich genötigt fühlt, dies als "Angriff" zu werten.

Also: Gerät mit der Adresse identifizieren, schauen, was darauf läuft und welcher Prozess welche Anfragen in welchem Zeitraum stellt.

Bitte auch mal die Frage beantworten, um was für ein Gerät es sich bei der Adresse *.53 handelt.

 

[KnolleJupp]

Wenn man sich das Protokoll ansieht, dann steht da übersetzt:
Das Gerät mit der IP-Adresse 192.168.0.53 schickt so unüblich viele DNS-Anfragen an deinen Router (mit der IP-Adresse 192.168.0.1) das der Router diese Anfragen als Angriff (fehl)interpretiert.

MAC=9c:c8:fc:21:89:53:8c:f5:a3:03:80:72:08:00
SRC=192.168.0.53 DST=192.168.0.1 (SCR steht für source, DST steht für destination.)

Das Gerät dessen Netzwerkanschluss die MAC-Adresse 9c:c8:fc:21:89:53:8c:f5:a3:03:80:72:08:00 besitzt
und dem der Router zu diesem Zeitpunkt die IP-Adresse 192.168.0.53 zugewiesen hat, ist der Verursacher der Probleme.

Welchem deiner netzwerkfähigen Geräte ist die IP-Adresse 192.168.0.53 zugewiesen? Das Gerät steckst du aus/schaltst du ab. Dann sollten die Probleme weg sein.
Ob es sich dabei um eine Falschkonfiguration handelt oder um einen Hardware-Defekt dieses Gerätes, kann man erst abschätzen wenn man weiß was für ein Gerät das ist.

Das kann alles mögliche sein das über LAN oder WLAN mit dem Router verbunden ist.
Ein Rechner, ein Handy, ein Tablet, ein Laptop, ein NAS, ein DVD/Blu-ray Player, eine Spielekonsole, ein Sat-/Kabel-Receiver, ein A/V-Receiver, ein Drucker, ein Repeater,
ein Access-Point, irgendein "SmartHome"-Gerät wie Amazon Fire TV, nVidia Shield, Amazon Echo, Google Home oder irgendetwas anderes mit Netzwerkanschluss.

Die MAC-Adresse weist auf das Unternehmen Arris International hin.
Die vertreiben hauptsächlich Kabelmodems und Set-Top-Boxen, also z.B. Sat-/Kabel-Receiver.
Besitzt du zufällig einen Sat- oder Kabelreceiver des Pay-TV Anbieters Sky?

Läuft die Zuweisung der IP-Adressen über DHCP des Routers, muss die 192.168.0.53 auch nicht mehr die aktuelle IP-Adresse des Störers sein.
Also in das aktuelle Protokoll schauen was dort steht.

 

[DeusoftheWired]

Jetzt hat man dich drölfmal gefragt, welches Gerät die 192.168.0.53 hat, und das einzige, was du schreibst, ist, daß das Problem weiter besteht.

 

[VirusA87]

ich kann nichts in meinem System finden was es auslösen könnte

Bei der Masse an Informationen und guten Rückmeldungen können wir da auch nur schwer etwas finden.

Im Router kannst du ja in der regel nachschauen welche Netzwerkgeräte momentan verbunden sind. Einfach ein Gerät nach dem anderen anschließen und wieder nachschauen. Eventuell etwas warten oder Seite neuladen damit diese aktualliesiert wird.
Bei Windowsrechnern kannst du auch einfach in der Eingabeaufforderung mit derm Befehl ipconfig nachschauen welche IP der Rechner hat.

Ansonsten bleibt uns nur noch Raten übrig.
Also Rate ich mal:
Dein Provider ist Vodafon (bzw. Unitymedia)
Und 192.168.0.53 ist ein Windowsrechner auf dem Rainbow Six Siege gespielt wird.
Kannst mich ja aufklären ob das gut oder schlecht geraten war.