Ping-Flooding Attacke?

homer092 · 13. September 2012

Hallo!

Ich habe ein großes Problem. Seit einigen Tagen kommt es jeden Ab end vor inzwischen auch mehrmals täglich, dass ich kein Internet habe manchmal für Stunden. Habe nun im Router mal nachgesehen, dort im Protokoll gibt es reihenweise Ping-Flooding attack Einträge. Z.B: Sowas:

Sep 13 08:34:42 DHCP: Client receive ACK from 80.69.97.148, IP=95.222.192.124, Lease time=3600.
Sep 13 08:16:48 PING-FLOODING flooding attack from WAN (ip:164.132.198.79) detected.
Sep 13 08:09:33 Drop TCP packet from WAN (src:151.65.249.64:51797, dst:95.222.192.124:80) by default rule.
Sep 13 08:09:29 PING-FLOODING flooding attack from WAN (ip:173.60.195.161) detected.
Sep 13 08:09:27 Drop TCP packet from WAN (src:151.65.249.64:51797, dst:95.222.192.124:80) by default rule.
Sep 13 08:09:24 PING-FLOODING flooding attack from WAN (ip:173.60.195.161) detected.
Sep 13 08:09:24 Drop TCP packet from WAN (src:151.65.249.64:51797, dst:95.222.192.124:80) by default rule.
Sep 13 08:09:19 PING-FLOODING flooding attack from WAN (ip:173.60.195.161) detected.

Kann das damit zusammenhängen? Habe Unitymedia mit statischer IP. Über einen D-Link DIR-600 Router. Kann man da was gegen tun? Oder hat das nichts mit den Internet-Ausestzern zu tun?

Danke euch für Antworten!

Ergänzung (13. September 2012)

ein Nachtrag:
immer wenn das INternet nicht geht die Tage, dann steht bei Ip-Adresse statt 95.222. ... auf einmal 192.168.100.10 und bei Gateway 192.168.100.1 und DNS ist leer in dem Fall. Was kann das sein?

-Overlord- · 13. September 2012

Guck mal nach welcher Computer in deinem Netzwerk die IP 192.168.100.10 hat - dieser hat einen Virus/Trojaner. Ggf. ist der Computer Teil eines Botnetzes.

homer092 · 13. September 2012

aber wie kann der auf dem router die IP ändern? und noch dazu gibts keinen mit der IP....wir haben 192.168.0.... aber da steht ja 192.168.100....

Flachzange · 13. September 2012

192.168.100 könnte das Netz zwischen Modem und Router sein. Ich meine das bei mir beobachtet zu haben. Die lokale Adresse des Modems ist 192.168.100.x wenn mich nicht alles täuscht

homer092 · 13. September 2012

Sep 13 08:08:04 DHCP: Client send DISCOVER.
Sep 13 08:08:00 DHCP: Client send DISCOVER.
Sep 13 08:07:58 DHCP: Client send DISCOVER.
Sep 13 08:07:58 DHCP: Client performing a DHCP renew.
Sep 13 08:07:58 DHCP: Client send DISCOVER.
Sep 13 08:07:54 DHCP: Client send DISCOVER.
Sep 13 08:07:52 DHCP: Client send DISCOVER.
Sep 13 08:07:52 DHCP: Client performing a DHCP renew.
Sep 13 08:07:39 DHCP: Client release IP 95.222.192.124 to server 80.69.97.148.
Sep 13 08:06:22 DHCP: Server sending ACK to 192.168.0.100. (Lease time = 86400)
Sep 13 08:08:09 DMZ disabled.
Sep 13 08:08:09 VPN (L2TP) Pass-Through enabled.
Sep 13 08:08:09 VPN (IPSec) Pass-Through enabled.
Sep 13 08:08:09 VPN (PPTP) Pass-Through enabled.
Sep 13 08:08:09 Domain blocking disabled.
Sep 13 08:08:09 URL blocking disabled.
Sep 13 08:08:09 MAC filter disabled.
Sep 13 08:08:08 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Sep 13 08:08:05 DHCP: Client send REQUEST to server 192.168.100.1, request IP=192.168.100.10.
Sep 13 08:08:05 DHCP: Client receive OFFER from 192.168.100.1.
Sep 13 08:08:52 MAC filter disabled.
Sep 13 08:08:51 DHCP: Client receive ACK from 80.69.97.148, IP=95.222.192.124, Lease time=3107.
Sep 13 08:08:49 DHCP: Client send REQUEST to server 80.69.97.148, request IP=95.222.192.124.
Sep 13 08:08:49 DHCP: Client receive OFFER from 80.69.97.148.
Sep 13 08:08:49 DHCP: Client send DISCOVER.
Sep 13 08:08:49 DHCP: Client performing a DHCP renew.
Sep 13 08:08:37 DHCP: Client release IP 192.168.100.10 to server 192.168.100.1.
Sep 13 08:08:22 DHCP: Client receive ACK from 192.168.100.1, IP=192.168.100.10, Lease time=30.
Sep 13 08:08:09 Remote management is disabled.
Sep 13 08:08:09 Block WAN PING is enabled.

hier mal ein Protokollausschnitt. da steht wirklich mal was mit .100. und mal mit .0. drinne. Aber warum? das versteh ich noch nicht so ganz. Meint ihr der Provider kann helfen?

Flachzange · 13. September 2012

Habs gerade mal bei mir getestet: 192.168.100.1 ist das Cisco-Kabelmodem-.

homer092 · 13. September 2012

achso ok....kann es auch anpingen habe ich eben getestet. Aber wieso dann 192.168.100.10? Außer ich vertu mich gerade. Aber schon alles sehr seltsam......im MOment bekomme ich flooding attacken am laufenden band ca. 1-2 pro minute.

Ergänzung (13. September 2012)

Sep 13 09:24:23 PING-FLOODING flooding attack from WAN (ip:223.19.103.138) detected.
Sep 13 09:24:08 PING-FLOODING flooding attack from WAN (ip:192.168.100.1) detected.
Sep 13 09:24:07 PING-FLOODING flooding attack from WAN (ip:192.168.100.1) detected.
Sep 13 09:24:05 PING-FLOODING flooding attack from WAN (ip:192.168.100.1) detected.
Sep 13 09:24:04 PING-FLOODING flooding attack from WAN (ip:192.168.100.1) detected.
Sep 13 09:24:02 PING-FLOODING flooding attack from WAN (ip:192.168.100.1) detected.
Sep 13 09:24:01 PING-FLOODING flooding attack from WAN (ip:192.168.100.1) detected.
Sep 13 09:22:18 Drop TCP packet from WAN (src:109.91.151.156:49655, dst:95.222.192.124:80) by default rule.
Sep 13 09:22:10 Drop TCP packet from WAN (src:109.91.151.156:49649, dst:95.222.192.124:80) by default rule.
Sep 13 09:22:04 Drop TCP packet from WAN (src:109.91.151.156:49649, dst:95.222.192.124:80) by default rule.

sendet mein Cisco-Modem jetzt schon selbst Flooding Attacken? Von der 192.168.100.1

Flachzange · 13. September 2012

Nein, es leitet die vermutlich nur weiter. Die eigentlichen Pings kommen woanders her

andy_0 · 13. September 2012

Ein Angriff ist wohl bei wenigen Access die Minute nicht vorhanden. Mehrere hundert innerhalb einer Sekunde wäre ein Angriff.

Die IP Range 109.91 gehört teilweise zu Unity Media. Womöglich interpretiert dein Router da irgendwas falsch. Womöglich ist auch einer deiner Rechner in einem Botnetz. Warum du in diesem Zeitraum kein "Internet" hast ist eine Frage. Es wäre denkbar, dass dein Router die jeweiligen Pakete einfach verwirft.

miwob · 13. September 2012

@andy_0: die einzelnen Loglines sind lediglich eine Information, dass ein ICMP flood stattfindet, und beschreiben nicht einen _einzelnen_ Ping, ansonsten würde das Zielgerät bei einem Flood alleine durch das Schreiben des Logfiles zusammenbrechen. Von daher gibt es lediglich einen Logeintrag in x-Zeit bei y-Paketen.

Edit: OP, was für einen Router hast du?

homer092 · 14. September 2012

also ich habe nicht nur in dieser Zeit kein Internet, es kommt einfach im Moment häufig vor, dass ich keins habe und dazu sind mir eben diese Logfiles aufgefallen...

ich habe einen D-Link DIR600 Router. Das ganze über einen Kabelanschluss von Unitymedia mit Cisco Modem und 32.000er Leitung. Firmware auf dem Router habe ich gestern geprüft ist auf dem aktuellsten Stand. Firewall ist auch an und Ping-Flooding Attacken werden blockiert.

chrigu · 14. September 2012

Nimm mal das Modem komplett vom Strom. Danach Nur mit einem pc (der 100% Viren/trojanerfrei ist. Getestet, nicht gefühlt ) per lan anschliessen und ein paar Seiten ansurfen. Danach schauen was im Log steht. Irgendwas mit ip 109 will auf deine ip 95 auf den Port 80 weiterleiten. Natürlich wird eine ip zugewiesen, darum hast du auch im Router einen dhcp-Server aktiv

Suche

Ping-Flooding Attacke?

homer092

Lieutenant

-Overlord-

Lt. Commander

homer092

Lieutenant

Flachzange

Lt. Junior Grade

homer092

Lieutenant

Flachzange

Lt. Junior Grade

homer092

Lieutenant

Flachzange

Lt. Junior Grade

andy_0

Admiral

miwob

Lt. Junior Grade

homer092

Lieutenant

chrigu

Fleet Admiral

Ähnliche Themen