Was tun gegen DDoS (UDP SYN FLOOD IP)?

[Hi Im Fabz]

Hallo zusammen,

ich werde seit ein paar Tagen regelmäßig von mehreren IP´s (35.207.126.30, 35.207.84.87, ...) "angegriffen".

Dabei werden mir laut Router-Log haufenweiße UDP SYN Anfragen geschickt.

Genaue Meldung:

(FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD] : erkannt. Als Absender wurde die Adresse 35.207.126.30 : 50005 identifiziert. Als Empfänger wurde die x.x.x.x(geschwärzte IP) : 54712 identifiziert.
Diese Anfragen kommen auch jedes mal auf einen anderen Port.
Dadurch bricht meine Internetverbindung mehrmals täglich während dieser Anfragen ab, da mein Router anscheinend mit der Anzahl der Anfragen nicht klar kommt.

Neue IP-Adresse habe ich bereits versucht, allerdings kam nach wenigen Minuten bereits die nächsten Anfragen.

Ich hatte mal einen DynDNS laufen, und außerdem einen Port für eine Wireguard Verbindung offen. Diese habe ich deaktiviert, was aber leider auch keine Besserung brachte.

Ich benutze einen Speedport Smart 3 von der Telekom. Nach kurzem googlen habe ich als "Lösung" herausgefunden dass wohl das Nachfolgemodell genug Leistung / Sicherheitsmaßnahmen besitzen soll damit die Probleme nicht mehr auftreten.

Allerdings möchte ich mir aktuell keinen neuen Router zulegen, da wir in nächster Zeit sowieso auf Glasfaser umsteigen.

Gibt es hier eventuell eine einfachere Lösung oder hatte bereits jemand ein ähnliches Problem?

Danke für eure Hilfe.
Fabi

 

[hans_meiser]

Ich kann nur raten, eine vernünftige firewall zu kaufen die pfsense laufen kann (z.B. protectli vault), da hast Du volles Arsenal um das zu unterbinden. Hat auch mit Gigabit speeds keine Probleme mitzuhalten.

 

[TorenAltair]

Kann man in so einem Billig-ISR wie Speedport die Firewall überhaupt ausschalten?

Nachtrag: Laut Telekom nicht abschaltbar

 

[BFF]

Das sind IP aus dem Google Universum. 🧐

Vermutlich gefaelscht.
Das Problem scheint nicht unselten zu sein.

So schwer es klingt.
Lass den Router mal ein paar Stunden aus. Vielleicht ziehen die Bots dann weiter.

 

[TorenAltair]

Vermutlich gefaelscht.

Glaub ich nichtmal, sondern letztendlich unsichere VMs in Google Cloud übernommen.

 

[JumpingCat]

Neue IP-Adresse habe ich bereits versucht, allerdings kam nach wenigen Minuten bereits die nächsten Anfragen.

Wieso sollten die dich auf der neuen IP-Adresse wiederfinden und gezielt angreifen?

Ich hatte mal einen DynDNS laufen,

Du hast den Dienst für andere bereitgestellt oder meinst du hast es genutzt so wie eine Email-Adresse bei mailbox .org, posteo .de , etc?

 

[Hi Im Fabz]

Kann man in so einem Billig-ISR wie Speedport die Firewall überhaupt ausschalten?

Anscheinend nicht, habe keine Einstellung gefunden 😅

Wieso sollten die dich auf der neuen IP-Adresse wiederfinden und gezielt angreifen?

Naja die Telekom vergibt ja IP-Adressen in ähnlichen Bereichen, ich denke die werden wahrscheinlich einfach alle IP-Adressen in diesem Bereich "angreifen".

Du hast den Dienst für andere bereitgestellt oder meinst du hast es genutzt so wie eine Email-Adresse bei mailbox .org, posteo .de , etc?

Ich habe mal zu Testzwecken einen kleinen Webserver im Heimnetz aufgesetzt (Hinter einem Nginx Reverse Proxy). Da ich keine feste IP-Adresse habe habe ich hierfür einen DynDNS benutzt. Die "Angriffe" haben aber erst angefangen nachdem ich den Webserver und Reverse Proxy bereits seit ein paar Wochen offline hatte

 

[JumpingCat]

Dadurch bricht meine Internetverbindung mehrmals täglich während dieser Anfragen ab, da mein Router anscheinend mit der Anzahl der Anfragen nicht klar kommt.

Bricht wirklich das Internet zusammen?

Wenn ich mir die beiden Links anschauen dann verursacht der Router selbst den Ausfall durch zu extremes Blocken:

• https://community.zoom.com/t5/Zoom-Meetings/ISP-Telekom-Germany-is-blocking-Zoom/m-p/8064
• https://telekomhilft.telekom.de/con...es-speedport-smart-3/67f24d9cdbaaaa2ca324e1ad

Nachtrag: Wenn die wirklich die Telekom Endkunden per DDOS Plattmachen wollen, dann ist das aus der Google Cloud eine doofe Idee. Zusätzlich müsste der Telekom das auch auffallen und einen DDOS bekommt man heutzutage nur noch auf seiten der Provider sauber geblockt. Was willst du denn machen? Den Traffik droppen der bei dir ankommt? Dann ist die Leitung trotzdem überlastet. Ausserdem müsste das viel größere Kreise ziehen, d.h. in den Medien stehen.

 

[Hi Im Fabz]

@JumpingCat Ja, Discord hängt sich auf, Diablo 4 verliert die Verbindung, Alexa hört auf Radio zu spielen ...

Dauert max. 30 Sekunden, ist aber auf Dauer echt ätzend.

 

[TorenAltair]

Bessere Hardware oder damit leben

Nachtrag: je nach konkretem Modell soll wohl ein reiner Modembetrieb möglich sein. Dann dahinter einen Router und eine Firewall. Beim Umstieg auf Glasfaser dann einfach das Modem ersetzen mit einem ONT.

 

[K-551]

Neue IP-Adresse habe ich bereits versucht, allerdings kam nach wenigen Minuten bereits die nächsten Anfragen.

Das find ich ein wenig eigenartig.

Vielleicht verrät da jemand wo er zu erreichen ist.

Irgend ein Schadprogramm auf einem Rechner oder irgend ein Gerät.
Nen billigen Media-Player/Streaming-Stick/-Box zu Hause?
Oder ein China-Gerät, wie Kamera, Smart-Home-Geräte ect. Die petzen gern mal...

Ich weis nicht obs der Speedport her gibt, aber du kannst ja mal ein paar verdächtigtigen Kandidaten das Internet weg nehmen...

 

[hans_meiser]

Kann man in so einem Billig-ISR wie Speedport die Firewall überhaupt ausschalten?

Nachtrag: Laut Telekom nicht abschaltbar

Aber umgehen sollte möglich sein. Hoffentlich kann man DHCP abschalten/neutralisieren, dann dem Billigding 192.168.1.2 zuweisen. Ordentliche firewall 192.168.1.1 mit DHCP damit der traffic da drüber geht, selbst wenn es im Endeffekt vom Billigding an den Anbieter geht. Die IP addressen sind freiwillig aber ich weiß immer gerne das alles über 1923.168.1.1 geht.

 

[Luftgucker]

Störung bei Telekom aufmachen und Port zurücksetzen lassen. Geht auch online über Kundencenter oder Telekom hilft hier im Forum. Gut möglich dass es kein richtiger Angriff ist sondern Hardwarefehler seitens der Telekom.

Generelles Problem ist es jedenfalls nicht, hier auch Smart3 und keine Meldungen im Logfile. Ich vermute da schickt der DSLAM Müll raus der den Smart3 aus dem Tritt bringt.

 

[Blutomen]

Gut möglich dass es kein richtiger Angriff ist sondern Hardwarefehler seitens der Telekom.

Was soll die DSL Leitung damit zutun haben? xD

Generelles Problem ist es jedenfalls nicht, hier auch Smart3 und keine Meldungen im Logfile.

Stimmt isses auch nicht, auf manche Konfigurationen im Heimnetz reagieren die Speedports aber merkwürdig. Diese Sync-Floods werden idR. von innen losgetreten.

Und das die Speedports dabei teilweise die Grätsche machen .. halt auch bekannt.

Am DSL Port oder dem DSL Sync liegt das aber nicht

 

[Luftgucker]

In den DSLAMS kommt es öfters vor dass Pakete gewisser Art und Größe aufgrund Busfehler etc. verschluckt werden was vom Router dann als Protokolllfehler und Angriff fehldiagnostiziert wird. Ein Portreset der entsprechenden Karte behebt das Problem im Regelfall.

 

[chrigu]

Wenn der Angriff trotz neu zugewiesener ip besteht, hast du malware installiert. Malwarebytes mal durchlaufen lassen und die Ergebnisse auflisten

 

[zivilist]

Wenn du den Telekom Router gemietet hast, ist es doch kein Problem: Telekom anrufen und neuen schicken lassen (der auch wieder nur gemietet wird) und den alten zurückschicken.

 

[CoMo]

Gegen SYN-Floods setzt man üblicherweise SYN-Cookies ein. Das muss der Router dann natürlich auch unterstützen. Bessere Systeme wie OPNSense können das auch adaptiv, aktivieren die SYN-Cookies also nur dann, wenn die State Table volläuft.

Ein Telekom-Router wird das vermutlich nicht beherrschen.

 

[Hi Im Fabz]

Danke für die vielen Antworten.

Ich werde jetzt mal nach und nach ein paar Geräte im Netzwerk abschalten und schauen ob es irgendwann besser wird.

Falls das Problem weiterhin besteht, werde ich mich dann an die Telekom wenden und schauen was die sprechen / mir einen neuen Router zuschicken lassen. (wobei ich eigentlich von den Telekom-Routern weg wollte, wegen den fehlenden Einstellungsmöglichkeiten 😅)

Einen Virentest kann ich auch mal laufen lassen.

 

[qiller]

Speedport Smart 4 war hier die Lösung:
https://telekomhilft.telekom.de/con...lood-aus-telekomnetz/6688342a4ae73561da511836

Kann mir mal wer erklären, was eine UDP SYN Flood sein soll? Seit wann benutzt denn ein stateless Protokoll wie UDP stateful Flags?