• Geschlossen

DDOS und die neue Internetbox

juil
Level 2
1 von 10

Seit wir die neue Internetbox haben, hat es einige Probleme gegeben. Es scheint mir ein Ausnahmefall zu sein, denn sonst habe ich immer nur ausgezeichnete Erfahrungen gehabt. Leider konnte mir die Swisscom bisher nicht weiterhelfen.

 

Problem:

Plötzlich lassen sich keine Webseiten (oder sonstige TCP/UDP Verbindungen) mehr aufrufen(/aufbauen):

- Verbindung ins Swisscomnetz OK

- Telefonie (IP) (!) = Fehler

- Heimnetzwerk OK

(Ergänzung: So sieht es auf der Startseite des Routers aus.)

 

Nach 3 Monatigen hin und her:

- 2 maliges Ausmessen der DSL Leitung: Alles wunderbar

- Auswechseln der gesamten Kabelinstallation (Ergänzung: Wurde vor der Messung vorgenommen.)

- Auswechseln der Internetbox

- Auswechseln des VDSL Ports im Anschlusskasten

 

Was hat die Swisscom herausgefunden: Nichts.

AUSSER: Mein Anschluss wurde innerhalb dieser drei Monate berechtigterweise gesperrt, weil er als Open-Relay (DNS) missbraucht wurde. Dieser Sicherheitsmangel wurde umgehend behoben.

 

Bis heute kommen innerhalb von Sekunden tausende DNS Anfragen rein (DROP).

 

Ergänzung: Die DNS Anfragen werden "per DMZ" an die Zyxel Firewall USG 20 weitergeleitet.

 

Mit dem alten Motorola Modem hatten wir jahrelang keine Problem und wurden auch bei Störungen immer sehr gut durch die Swisscom unterstützt. Auch wenn wir das Motorola Modem jetzt anstecken, stürtzt es nicht ab und wir haben keine Probleme!

 

Die Swisscom kann mir leider nicht helfen. Wenn ich anrufe darf ich jedes mal mehrere Male den Router neustarten. Gerne hätte ich von der Swisscom:

- Eine Internetbox die knapp 100 Mbit/s (Korrektur) an DNS anfragen handeln kann (Ergänzung: tatsächlich sind es viel weniger).

- Das die Swisscom DDOS Attacken blockiert

 

Ich fühle mich mit meinem Problem im Stich gelassen und werde praktisch gezwungen den Anbieter zu wechseln. Ich kann nicht mal das Modem wechseln, da die Swisscom die VOIP Login Daten nicht zur Verfügung stellt.

Gem. meiner Interpretation der AGB muss ich die Rechnung bezahlen "3. Bezahlung: Der Kunde ist für eine fristgerechte Bezahlung der bezogenen Leistungen verantwortlich." (Hier ein unbrauchbarer Internetanschluss) und gleichzeitig bietet sie in Punkt 11 keine Gewähr auf einen ausreichenden Schutz oder eine stabile Leitung. (Ist DNS Anfragen die offensichtlich Missbräuchlich sind zu blockieren zu viel erwartet?)

 

Ergänzung: Ich war sehr wütend, als ich diese Zeile geschrieben habe. Ich ärgere mich vorallem über den Routerzwang.

 

 

 

Editiert
9 Kommentare 9
user109
Super User
2 von 10

@juil hast du deine Rechner auf Schadprogramme geprüft ??? Es ist nicht normal das nur du DDOS Attaken hast. Es gibt viele tausende SC-Kunden die kein Problem damit haben. Vielleicht kann @Anonym da weiter helfen.

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
juil
Level 2
3 von 10

Japs habe ich. Bisher nichts gefunden.

 

Was ich jedoch herausgefunden habe: Wenn ich das DMZ ausschalte und einzelne Portweiterleitungen mache, dann fängt es sich wieder. Mal schauen, ob das Problem wieder auftritt.

 

Angenommen, dass dieses DMZ das Problem darstellt, hat die Internetbox offenbar ein Problem hunderte Pakete weiterzuleiten.

user109
Super User
4 von 10

Diese Antwort kann dir nur @Anonym geben.

 

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
hed
Level 7
Level 7
5 von 10

@juil schrieb:

Japs habe ich. Bisher nichts gefunden.

 

Was ich jedoch herausgefunden habe: Wenn ich das DMZ ausschalte und einzelne Portweiterleitungen mache, dann fängt es sich wieder. Mal schauen, ob das Problem wieder auftritt.

 

Angenommen, dass dieses DMZ das Problem darstellt, hat die Internetbox offenbar ein Problem hunderte Pakete weiterzuleiten.


Hunderte DNS-Anfragen pro Sekunde oder wie du weiter oben den Wunsch geäussert hast eine Kapazität von 10 Mbps alleine für DNS-Anfragen liegt weit ausserhalb des Einsatzbereiches einer IB.

 

Solche DNS-Kapazitäten brauchen Provider und/oder Grossfirmen aber sicher keine Privatpersonen.  Und falls du solche Leistungen möchtest um DDOS-Attacken zu "schlucken", dann wäre dies der komplett falsche Ansatz.

 

Klar, der 1. Level ist mit solchen Themen überfordert. In diesem Fall kannst du nur hartnäckig bleiben und verlangen, dass du das mit dem 2. Level oder dem Engineering diskutieren kannst.

Anonym
6 von 10
Klingt seltsam. Ich gebe es mal weiter.

@juil : Du müsstest mit per PN Deine Daten geben.
Tux0ne
Level 9
7 von 10

@juil schrieb:

Japs habe ich. Bisher nichts gefunden.

 

Was ich jedoch herausgefunden habe: Wenn ich das DMZ ausschalte und einzelne Portweiterleitungen mache, dann fängt es sich wieder. Mal schauen, ob das Problem wieder auftritt.

 

Angenommen, dass dieses DMZ das Problem darstellt, hat die Internetbox offenbar ein Problem hunderte Pakete weiterzuleiten.


Es scheint mir seltsam das du hier mit der DMZ auf ein bestimmtes Gerät weiterleitest, dieses sogar mal als offenes DNS Relay arbeitete und man sich noch wundert wieso sich das alles mit spezifischen Portweiterleitungen einpendelt.

 

Du kannst uns ja mal den Sinn deiner Konfiguration erklären.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
juil
Level 2
8 von 10

@Tux0ne

Ich muss zugegeben, dass aufgrund meiner emotional gesteuerten Darstellung oben das ganze komisch scheint. Eine Gewisse unvollständigkeit habe ich beim durchlesen auch festgestellt. Hoffentlich konnte ich durch die Ergänzungen das Ganze klarer darstellen.

 

Das DMZ war auf eine Zyxel USG 20 eingerichtet, bei der die Pakete dann gegen eine Firewall prallten.

Da stellte sich mir die frage:

Weshalb stürzt es ab, wenn es die DNS Pakete weiterleiten muss?

Ist es falsch von mir zu erwarten, dass ein Modem das ohne Probleme aushält (zumindest beim Vivo M Download)?

Natürlich stürzt es NICHT ab, wenn es die Pakete NICHT weiterleiten muss.

Ich habe sonst den Package Capture, falls jemand sich das anschauen möchte.

 

 

Editiert
Tux0ne
Level 9
9 von 10

Bezüglich DDOS Schutz bist du bei Privatkunden ganz falsch aufgehoben.

Auch Business Kunden würden sich noch wundern.

Faktisch jeden Swisscom Anschluss kann man lahmlegen, auch Business Anschlüsse mit mehreren 100 Rufnummern über IP welche dahinter hängen.

Das ist jedesmal der Fall, ausgenommen der Kunde hat einen IPSS Anschluss, dieser ist nicht direkt mit dem Internet Verbunden (und auch da kann man Kapazitäten kaufen welche den DDOS Schutz dort pulverisieren)

Die neue IP Welt macht auch die Telefonie für solche Spässe angreifbar und das wird kommen. Darüber wird man in Zukunft häufiger berichten können 😉

 

Ich kann die Kapazität von diesem Router nicht einschätzen.

Das du aber so viele Anfragen bekommst deutet auf eine Schwäche hin. Entweder in deinem System oder durch ein DDNS welcher aus welchen Gründen auch immer als lohnenswert angeschauft wird.

 

Wenn du weisst was da los ist, kannst du ja mal da ansetzen. Ansonsten my KMU Office mit fixer IP. Da kannst du die PPPoE Connection direkt auf der Firewall terminieren.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
gasoo
Level 3
10 von 10

Eine Erklärung warum die IB abstürzt könnte folgende sein:

 

DNS funktioniert via UDP, also ohne Session wie bei TCP.

Da die IB nun aber eine NAT Table vorhalten muss, kann diese überlaufen und dann können keine neuen Verbindungen mehr aufgebaut werden.

 

Beispiel:

1000 DNS Anfragen pro Sekunde, jede Anfrage braucht einen Eintrag in der NAT Table.

Da UDP keine Session ist, muss ein Timeout für diesen Eintrag vorhanden sein, nach dem Ablauf dieses Timeouts wird die Verbindung aus der NAT Table gelöscht.

Bei einem Timeout von 5 Sekunden bedeutet dies, dass 5000 Einträge in der NAT Table nur für die DNS Requests verwendet werden.

 

Wie gross die NAT Table und das Timeout ist, kann ich nicht sagen.

 

Da du einen Open Resolver betrieben hast, ist deine IP auf Listen für DDoS gelandet.

Nun da der Open Resolver nicht mehr funktioniert, ist es nur eine Frage der Zeit bis die IP aus diesen Listen wieder entfernt wird. Bis dahin werden weiterhin DNS Anfragen eingehen.

Eine alternative Lösung wäre ein IP Wechsel, dann hast du das Problem für dich gelöst, aber der nächste Kunde der diese IP erhält, wird auch die DNS Anfragen erhalten.

 

Nach oben