ComputerBase Menü
Aktuelles

Werde ich ge-DDoS-t?

N

Naddel_81

Banned
Registriert
Okt. 2006
Beiträge
3.878
Hi an alle,

wenn ich meinen ASUS RT-N12D1 Router anschalte, habe ich ne gute Stunde 100 Mbit/s zur Verfügung. Aber schon danach gehen nur noch maximal 60 Mbit/s und der Router spuckt im Systemprotokoll gedroppte Pakete aus etc.

Wird jemand schlau hierdraus?

"Mar 10 05:51:07 WAN Connection: WAN was restored.
Mar 10 07:20:07 watchdog: restart httpd
Mar 10 07:20:07 rc_service: watchdog 231:notify_rc start_httpd
Mar 10 07:20:07 RT-N12D1: start httpd
Mar 10 07:20:37 watchdog: restart httpd
Mar 10 07:20:37 rc_service: watchdog 231:notify_rc start_httpd
Mar 10 07:20:37 RT-N12D1: start httpd
Mar 10 07:24:37 kernel: printk: 933 messages suppressed.
Mar 10 07:24:42 kernel: printk: 719 messages suppressed.
Mar 10 07:24:47 kernel: printk: 330 messages suppressed.
Mar 10 07:24:52 kernel: printk: 356 messages suppressed.
Mar 10 07:25:10 kernel: printk: 10 messages suppressed.
Mar 10 07:25:13 kernel: printk: 310 messages suppressed.
Mar 10 07:25:13 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:25:18 kernel: printk: 20 messages suppressed.
Mar 10 07:25:18 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:25:25 kernel: printk: 6 messages suppressed.
Mar 10 07:25:25 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:25:28 kernel: printk: 3 messages suppressed.
Mar 10 07:25:28 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:25:33 kernel: printk: 16 messages suppressed.
Mar 10 07:25:33 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:25:38 kernel: printk: 14 messages suppressed.
Mar 10 07:25:38 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:25:43 kernel: printk: 5 messages suppressed.
Mar 10 07:25:43 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:25:49 kernel: printk: 14 messages suppressed.
Mar 10 07:25:49 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:25:53 kernel: printk: 14 messages suppressed.
Mar 10 07:25:53 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:26:12 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:26:12 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:26:12 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:26:15 kernel: printk: 7 messages suppressed.
Mar 10 07:26:15 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:26:18 miniupnpd[517]: try_sendto(sock=5, len=341, dest=192.168.1.217:55498): sendto: Operation not permitted
Mar 10 07:26:18 miniupnpd[517]: try_sendto(sock=5, len=341, dest=192.168.1.217:55498): sendto: Operation not permitted
Mar 10 07:26:18 miniupnpd[517]: try_sendto failed to send 2 packets
Mar 10 07:26:18 kernel: printk: 4 messages suppressed.
Mar 10 07:26:18 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:26:35 kernel: printk: 6 messages suppressed.
Mar 10 07:26:38 kernel: printk: 542 messages suppressed.
Mar 10 07:26:43 kernel: printk: 370 messages suppressed.
Mar 10 07:26:48 kernel: printk: 270 messages suppressed.
Mar 10 07:26:53 kernel: printk: 506 messages suppressed.
Mar 10 07:26:58 kernel: printk: 111 messages suppressed.
Mar 10 07:27:06 kernel: printk: 6 messages suppressed.
Mar 10 07:27:09 kernel: printk: 1 messages suppressed.
Mar 10 07:27:15 kernel: printk: 480 messages suppressed.
Mar 10 07:27:18 kernel: printk: 15 messages suppressed.
Mar 10 07:27:18 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:27:23 kernel: printk: 261 messages suppressed.
Mar 10 07:27:23 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:27:28 kernel: printk: 35 messages suppressed.
Mar 10 07:27:33 kernel: printk: 51 messages suppressed.
Mar 10 07:27:33 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:27:33 miniupnpd[517]: try_sendto(sock=5, len=350, dest=192.168.1.217:51627): sendto: Operation not permitted
Mar 10 07:27:33 miniupnpd[517]: try_sendto(sock=5, len=350, dest=192.168.1.217:51627): sendto: Operation not permitted
Mar 10 07:27:33 miniupnpd[517]: try_sendto(sock=5, len=350, dest=192.168.1.217:51627): sendto: Operation not permitted
Mar 10 07:27:33 miniupnpd[517]: try_sendto(sock=5, len=405, dest=192.168.1.217:51627): sendto: Operation not permitted
Mar 10 07:27:33 miniupnpd[517]: try_sendto(sock=5, len=405, dest=192.168.1.217:51627): sendto: Operation not permitted
Mar 10 07:27:33 miniupnpd[517]: try_sendto(sock=5, len=403, dest=192.168.1.217:51627): sendto: Operation not permitted
Mar 10 07:27:33 miniupnpd[517]: try_sendto(sock=5, len=421, dest=192.168.1.217:51627): sendto: Operation not permitted
Mar 10 07:27:33 miniupnpd[517]: try_sendto(sock=5, len=389, dest=192.168.1.217:51627): sendto: Operation not permitted
Mar 10 07:27:33 miniupnpd[517]: try_sendto(sock=5, len=409, dest=192.168.1.217:51627): sendto: Operation not permitted
Mar 10 07:27:33 miniupnpd[517]: try_sendto(sock=5, len=413, dest=192.168.1.217:51627): sendto: Operation not permitted
Mar 10 07:27:38 kernel: printk: 43 messages suppressed.
Mar 10 07:27:38 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:27:46 kernel: printk: 14 messages suppressed.
Mar 10 07:27:46 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:28:04 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:28:04 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:28:08 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:28:08 kernel: nf_conntrack: table full, dropping packet.
Mar 10 07:28:08 kernel: printk: 3 messages suppressed.
Mar 10 07:28:08 kernel: nf_conntrack: table full, dropping packet."


Viele Grüße!
Ergänzung ()

UpDATE: Und die CPU auslastung geht nu auch bei einem Speedtest auf 100% hoch, was sie vorher nicht tat.
 
:D Eine DDoS-Attacke sieht sicherlich anders aus :D Alle paar Sekunden irgend einen Eintrag: Who cares. wenns hunderte in der Sekunde sind, dann hast du ein Problem
Ist die Firmware aktuell?
 
WLAN oder Kabel? Erstmal Kabel nehmen.
Sind alle Geräte betroffen oder nur der PC? Kann gut ein Virus sein, wenn deine Auslastung hoch geht. Welcher Prozess verursacht die Auslastung?
 
so, aktuell geht es wieder. hatte manuell mal WLAN AUS und wieder ANgeschaltet. PC mit dem ich teste ist natürlich per kabel dran.
firewall ist AN (Router) und FW ist aktuell. WPA2 Key ist lang und sind nur geräte drin, die ich kenne.

mit auslastung meinte ich natürlich den router, nicht den PC:



so ist die aktuelle und normale auslastung. jetzt warte ich mal ne stunde und teste erneut.
 
Dein Linux hat zuviele Verbindungen bzw. zuwenig Speicher für alle Verbindungen. Deswegen die conntrack Meldungen.
Irgendeine Software in deinem LAN macht sehr sehr viele Verbindungen auf.
 
Naddel_81 schrieb:
Ergänzung ()

was bedeutet denn dieses "nf_conntrack: table full, dropping packet."?
Zum Vergrößern anklicken....
Diese Aussage bedeutet:
Dein lokales Netz ist hinter einem mit NAT arbeitendem Router. NAT steht für Network Address Translation und ist dafür zuständig, dass du hinter einer (oder mehreren) IP-Adressen die Anfragen zu den richtigen Rechnern geschickt werden. In etwa steht da drin:
PC A LAN 192.168.0.12 hat Pakete an Internet computerbase.de geschickt
PC B LAN 192.168.0.13 hat Pakete an Internet haribo.de geschickt
...

Wenn nun eine Antwort von computerbase.de kommt, dann geht diese an PC A. Von haribo.de an PC B usw.
Diese Tabelle wächst mit jeder Verbindung und jeder Eintrag hat eine Lebenszeit - nach dem Erreichen der Lebenszeit wird ein Eintrag entfernt. Da diese Einträge im RAM gehalten werden, kann es bei vielen Verbindungen dazuführen, dass die Tabelle voll läuft.
Aus irgendeinem Grund werden bei dir viele Verbindungen aufgebaut. Sei es Torrents, ein DDOS, oder ...
Hostest du bei dir irgendein Server? SSH, Minecraft, ...? Oder hast du einen Prozess, der viele Verbindungen öffnet, z.B. Malware?
Eine normale, dynamische IP Adresse bei einem deutschen Hoster wird nicht einfach per DOS angegriffen.
 
habe auf einem tablet einen plex-server laufen. habe hier mal die aktuellen verbindungen aus dem router herauskopiert:

"Proto NATed Address Destination Address State
tcp 192.168.1.91:65515 172.217.1.36:443 ASSURED
tcp 192.168.1.91:65523 173.194.202.138:443 ASSURED
tcp 192.168.1.91:65490 184.30.24.52:443 CLOSE
tcp 192.168.1.91:65522 173.194.202.138:443 ESTABLISHED
tcp 192.168.1.91:60153 63.251.34.131:80 ESTABLISHED
tcp 192.168.1.217:55312 82.94.168.10:443 ESTABLISHED
tcp 192.168.1.71:50455 173.194.203.188:5228 ESTABLISHED
tcp 192.168.1.71:54733 104.210.8.166:443 ESTABLISHED
tcp 192.168.1.91:65380 91.211.75.193:443 ESTABLISHED
tcp 192.168.1.217:55314 159.253.132.188:24466 ESTABLISHED
tcp 192.168.1.217:54982 65.52.108.186:443 ESTABLISHED
tcp 192.168.1.71:52045 157.55.235.156:40003 ESTABLISHED
tcp 192.168.1.91:65511 172.217.1.36:443 ESTABLISHED
tcp 192.168.1.71:53765 17.110.224.200:443 ESTABLISHED
tcp 192.168.1.71:61552 17.110.226.200:5223 ESTABLISHED
tcp 192.168.1.91:65512 172.217.1.36:443 ESTABLISHED
tcp 192.168.1.71:53769 157.56.121.231:443 ESTABLISHED
tcp 192.168.1.71:64604 17.172.232.12:5223 ESTABLISHED
tcp 192.168.1.71:59589 91.190.218.61:12350 ESTABLISHED
tcp 192.168.1.91:65514 172.217.1.36:443 ESTABLISHED
tcp 192.168.1.91:65498 87.230.75.2:80 ESTABLISHED
tcp 192.168.1.71:53755 17.172.238.201:5223 ESTABLISHED
tcp 192.168.1.91:65510 172.217.1.36:443 ESTABLISHED
tcp 192.168.1.91:63019 144.76.90.76:443 ESTABLISHED
tcp 192.168.1.91:65513 172.217.1.36:443 ESTABLISHED
tcp 192.168.1.71:57451 157.56.126.207:443 ESTABLISHED
tcp 192.168.1.217:54994 159.8.209.215:443 ESTABLISHED
tcp 192.168.1.91:65382 145.253.248.206:843 SYN_SENT
tcp 192.168.1.217:50691 192.168.0.188:49152 SYN_SENT
tcp 192.168.1.91:65492 145.253.248.206:843 SYN_SENT
tcp 192.168.1.217:50733 192.168.0.188:49152 SYN_SENT
tcp 192.168.1.217:50710 192.168.0.188:49152 SYN_SENT
tcp 192.168.1.217:50672 192.168.0.188:49152 SYN_SENT
tcp 192.168.1.124:2334 91.198.22.70:80 TIME_WAIT
tcp 192.168.1.91:65508 87.230.75.2:80 TIME_WAIT
tcp 192.168.1.91:65503 87.230.75.2:80 TIME_WAIT
tcp 192.168.1.91:65500 87.230.75.2:80 TIME_WAIT
tcp 192.168.1.91:65502 87.230.75.2:80 TIME_WAIT
tcp 192.168.1.91:65505 87.230.75.2:80 TIME_WAIT
tcp 192.168.1.91:65504 87.230.75.2:80 TIME_WAIT
tcp 192.168.1.91:65478 145.253.248.206:8080 TIME_WAIT
tcp 192.168.1.91:65391 145.253.248.206:8080 TIME_WAIT
tcp 192.168.1.91:65497 87.230.75.2:80 TIME_WAIT
tcp 192.168.1.124:2335 54.219.236.25:80 TIME_WAIT
tcp 192.168.1.91:65462 145.253.248.206:8080 TIME_WAIT
tcp 192.168.1.91:65477 145.253.248.206:8080 TIME_WAIT
tcp 192.168.1.91:65390 145.253.248.206:8080 TIME_WAIT
tcp 192.168.1.91:65473 145.253.248.206:8080 TIME_WAIT
tcp 192.168.1.91:65507 87.230.75.2:80 TIME_WAIT
tcp 192.168.1.91:65499 87.230.75.2:80 TIME_WAIT
tcp 192.168.1.91:65392 145.253.248.206:8080 TIME_WAIT
tcp 192.168.1.91:65470 145.253.248.206:8080 TIME_WAIT
tcp 192.168.1.91:65509 176.9.50.23:80 TIME_WAIT
tcp 192.168.1.91:65389 145.253.248.206:8080 TIME_WAIT
tcp 192.168.1.91:65501 87.230.75.2:80 TIME_WAIT
tcp 192.168.1.124:2340 216.146.43.70:80 TIME_WAIT
tcp 192.168.1.91:65506 87.230.75.2:80 TIME_WAIT
udp 192.168.1.91:51932 172.217.1.36:443 UNREPLIED
udp 192.168.1.221:20196 54.217.201.148:32100 UNREPLIED
udp 192.168.1.124:4113 216.229.0.179:123 UNREPLIED
udp 192.168.1.221:19898 54.245.98.57:32100 UNREPLIED
udp 192.168.1.91:51930 216.58.216.3:443 UNREPLIED
udp 192.168.1.221:19898 123.56.159.92:32100 UNREPLIED
udp 192.168.1.91:51933 173.194.202.100:443 UNREPLIED
udp 192.168.1.221:19898 54.217.201.148:32100 UNREPLIED
udp 192.168.1.221:20196 54.245.98.57:32100 UNREPLIED
udp 192.168.1.91:56529 172.217.1.46:443 UNREPLIED
udp 192.168.1.91:60456 173.194.202.138:443 UNREPLIED
udp 192.168.1.91:55511 216.58.216.14:443 UNREPLIED
udp 192.168.1.91:51934 173.194.202.132:443 UNREPLIED "
 
Also - für mich ist der letzte Teil in den Einträgen interessant (mehr dazu unter: https://www.frozentux.net/iptables-tutorial/chunkyhtml/x1425.html):
tcp 192.168.1.91:65515 172.217.1.36:443 ASSURED

Da steht drin, wohin Pakete möchten - also welche Art von Service, z.B. Port tcp/443 ist HTTPS oder tcp/5223 ist Apple Gedöns (einfach nach Portnummer und Protokol googlen) und der zweite Eintrag ist der Status der TCP Verbindung (s. Link für Beschreibung).

Auffällig sind schon mal diese Einträge (vier Stück):
tcp 192.168.1.217:50672 192.168.0.188:49152 SYN_SENT

Warum möchte der Rechner 192.168.1.217 auf ein Rechner in einem anderen LAN (192.168.0.188) zugreifen, und warum routet der Router das?

Aber eigentlich ist da relativ wenig Verkehr drauf und solche Einträge solltest du besser nicht posten. Man kann viel über einen erfahren.
 
Zuletzt bearbeitet:
Mit den anderen Einträgen zusammen, ergibt sich mir ein Bild, dass der Rechner hinter 192.168.1.217 was heikles macht oder ein Dienst läuft, der dem Router nicht passt.
Mar 10 07:27:33 miniupnpd[517]: try_sendto(sock=5, len=350, dest=192.168.1.217:51627): sendto: Operation not permitted
 
Nope, die 192.168.1.217 ist nicht in meinem Netz. Die ist in dem Netz von Thead-Ersteller, Naddel_81, und Hausbesuche gibt es um diese Uhrzeit nicht. :)
 
Zuletzt bearbeitet:
:D sry, dann war das jetzt wohl falsch adressiert... im wahrsten Sinne des Wortes und das ist sogar on topic irgendwie ^^
 
hast du nach firmware-upgrade des routers auch ein reset gemacht?
warum wurde ein update gemacht?

noch was... bist zu zu 100% sicher, dass dein server keine schadsoft enthält? zu 100% getestet sicher, nicht gefühlt sicher.
 
Das FW Update wurde gemacht, weil ich in meiner Naivität hoffte, dass der Fehler dadurch verschwinden würde. Resettet habe ich nicht. Also resetten und danach die Einstellungsdatei wieder zurückladen? Was den Server angeht: der wird aktiv gar nicht genutzt, sondern streamt nur. Würde mich stark wundern wie da was drauf käme. Aber nur interessehalber: womit checke ich das am besten?

Vielen Dank für euren Support!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Ridefreak
Raspberry Pi 4 Model B Rev 1.2 verliert USB-Geräte nach ein paar Tagen
Antworten
1
Aufrufe
1.200
nöörd
N
Thunfischsalat
Fritz.Box DHCP-Server vergab auch bekannten Geräten keine IP (DDOS/VIRUS?)
2
Antworten
24
Aufrufe
13.863
prian
prian
N
DDos am Router?
Antworten
10
Aufrufe
1.415
Naddel_81
N
E
Verbindungsunterbrechungen - Fehleranalyse?
Antworten
0
Aufrufe
1.461
Egozocker489
E
F
ASUS DSL-AC68U verbindet sich nicht mit VDSL
Antworten
12
Aufrufe
12.963
Hakubaku
H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz