Unitymedia Angriff aus dem Ausland - Loggs häufen sich - DIR300

[Knight rider]

Hallo Leute.

Ich beobachte bei mir seit knapp 2 Wochen das ich aus dem Ausland besucht werde, hier wird meine
Leitung in sehr regelmässigen abständen gepingt/gefloodet/was auch immer - Es stockt auch ganz leicht
beim surfen, wo ich sagen muss, das netzt ist etwas lahm was ich auch bei speedtests sehe wenn ich sie
mache, sobald ich merke, es geht mit dieser IP (siehe unten) wieder los.

Seit 2 Wochen tauchen in den Router logs meines DIR-300 Folgendes auf:

Oct 25 01:04:18 ATTACK Detected: 001[Xmas] attack from WAN (ip:91.202.61.170) detected. Packet dropped.
Oct 25 01:04:10 ATTACK Detected: 001[Xmas] attack from WAN (ip:91.202.61.170) detected. Packet dropped.
Oct 25 01:03:40 ATTACK Detected: 001[Xmas] attack from WAN (ip:91.202.61.170) detected. Packet dropped.
Oct 25 01:03:16 ATTACK Detected: 001[Xmas] attack from WAN (ip:91.202.61.170) detected. Packet dropped.
Oct 25 01:03:14 ATTACK Detected: 001[Xmas] attack from WAN (ip:91.202.61.170) detected. Packet dropped.
Oct 25 01:03:10 ATTACK Detected: 001[Xmas] attack from WAN (ip:91.202.61.170) detected. Packet dropped.
Oct 25 01:02:40 ATTACK Detected: 001[Xmas] attack from WAN (ip:91.202.61.170) detected. Packet dropped.
Oct 25 01:02:28 ATTACK Detected: 001[Xmas] attack from WAN (ip:91.202.61.170) detected. Packet dropped.
Oct 25 01:02:26 ATTACK Detected: 001[Xmas] attack from WAN (ip:91.202.61.170) detected. Packet dropped.
Oct 25 01:02:04 ATTACK Detected: 001[Xmas] attack from WAN (ip:91.202.61.170) detected. Packet dropped.
Oct 25 01:02:02 ATTACK Detected: 001[Xmas] attack from WAN (ip:91.202.61.170) detected. Packet dropped.

Gibt es irgendwie möglichkeiten das zu verhindern ?

Diese IP ist ganz schön Hardnäckig. Gerade in diesem Augenblick wo ich hier schreibe, habe ich an einem
stück ganze 5 Seiten im 5 Sek. takt bis zu 2 min.

Das wird schon langsam nicht mehr lustig.

Meine IP bei unitymedia liegt bei 178.202.2xx.xx

Ein IPchange d.h. im Router Mac Adresse ändern hilft nicht, da anscheinend der
ganze Adressbereich durch o.g. IP Attakiert wird.

WLAN kann ich auch ausschließen da verschlüsselt, (WPA2) und zugangskontrolle via MAC Adressfilter.

Von meiner seite aus wurde die Seite die sich hinter dieser IP verbirgt auch nicht besucht.

 

[Boembel]

Google mal danach. So unbekannt scheint die IP-Adresse nicht zu sein. Melde das einfach an UM. Sollen die sich darum kümmern.

 

[piotr]

Schalte im DIR-300 in den erweiterten Firewall-Einstellungen SPI aus.
Dann ist Ruhe.

Oder viel besser: Kaufe Dir einen neuen Router, der sich nicht so leicht von ein paar harmlosen Portscans beeindrucken laesst.

 

[JanR]

Die Unitymedia IPs sind bekannt und werden "gespoofed". Irgendwelche Angreifer schicken Pakete an die von dir entdeckte IP Addresse (zB. in deinem Fall eine vermutlich nicht wirklich legale Warez Seite), schreiben aber in diese Pakete nicht die eigene IP Addresse rein sondern vermutlich einfach zigtausende IPs von Unitymedia, T-Online usw. Der so angegriffene Webserver versucht nun diese Verbindungsanfragen zu beantworten, indem er Antwortpakete an die vermeintlich anfragenden IPs schickt, die aber davon natürlich nichts wissen und wartet nun wiederrum vergeblich auf eine Antwort.. Durch solche Angriffe wird der Webserver natürlich überlastet, das ist ja auch das Ziel der Angreifer. Nennt sich zB. SYN flood. Und bei uns tauchen dann im Log diese Warnmeldungen auf.

Für einen Portscan halte ich das jedenfalls nicht.

 

[piotr]

Dann mach Dich mal ueber das im Log Gemeldete schlau.

Hier wird ein Christmas Tree Packet (xmas) von der SPI des Routers erkannt.
D.h. das sind TCP-Pakete wo neben dem TCP Flag SYN, auch die TCP Flags FIN, PSH und URG aktiviert sind.

EIn Christmas Tree Packet wird z.B. in Portscans benutzt um aus den Reaktionen auf das Christmas Tree Packet das Betriebssystem zu erkennen.

Deine beschriebene Antwort wuerde nicht als Christmas Tree Paket erkannt werden.

Eine von einem Server zurueckgesendete Antwort (TCP SYN ACK) auf einen TCP-Verbindungsversuch (TCP SYN) hat nie gleichzeitig auch das TCP Flag FIN im TCP-Header aktiviert.

Das TCP Flag FIN wird normalerweise nur beim Beenden einer bestehenden TCP-Verbindung genutzt.
Und wenn nichts auf dem Port lauscht, kommt vom angesprochenen "Server" ein TCP-Paket mit aktivierten TCP Flag RST zurueck.