‎DoS Angriff SYN Flood (FW101) - Ursache finden

Telekom hilft Community

Telekom Business Community

Private customers

Telekom Shops

Contact

DoS Angriff SYN Flood (FW101) - Ursache finden

5 years ago

Hallo liebe Community,

seit Monaten verliert mein Speedport W724V Typ C (Firmware 09011603.06.006) teilweise mehrmals täglich die Verbindung zum Internet. Die Systemmeldungen im Speedport lauten jedes Mal:

DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

Nach ein paar Minuten wird die Verbindung zum Internet automatisch wieder hergestellt.

Die Datenschutzstufe im Speedport steht auf Stufe 2.

Den vielen verschiedenen Beiträgen zu dieser Fehlermeldung habe ich entnommen, dass auch Geräte im eigenen Netzwerk diese Fehlermeldung verursachen können. Da ich dutzende Geräte (überwiegend via WLAN bzw Repeater) im eigenen Netzwerk habe (z.B. Telekom Smart Home, Phillips Hue, mehrere Smartphones, Laptops etc.), möchte ich nur ungern jedes Gerät für ein paar Tage vom Netzwerk trennen und einzeln das Verhalten des Speedports durchtesten.

Meine Fragen:

1. Gibt es eine Möglichkeit zu prüfen, ob die Ursache für den o. g. DOS Angriff im eigenen Netzwerk liegt oder ob der Speedport tatsächlich einen Angriff von außen abwehrt?

2. Könnte ein anderer Router (z.B. Fritz!Box 7590) möglicherweise das Problem ohne Abbruch der Internetverbindung ausregeln?

Danke für eure Unterstützung!

Liebe Grüße,

Tim

4379

5 years ago

tim.marcus

1. Gibt es eine Möglichkeit zu prüfen, ob die Ursache für den o. g. DOS Angriff aus dem eigenen Netzwerk liegt oder ob der Speedport tatsächlich einen Angriff von außen abwehrt?

1. Gibt es eine Möglichkeit zu prüfen, ob die Ursache für den o. g. DOS Angriff aus dem eigenen Netzwerk liegt oder ob der Speedport tatsächlich einen Angriff von außen abwehrt?

tim.marcus

1. Gibt es eine Möglichkeit zu prüfen, ob die Ursache für den o. g. DOS Angriff aus dem eigenen Netzwerk liegt oder ob der Speedport tatsächlich einen Angriff von außen abwehrt?

Evtl. kann ein "mitloggen" des Datenverkehrs über die Capture-Funktion im Engineer Menu des SP W 724V Typ C helfen,

http://speedport.ip/html/engineer/ghome.htm

den inneren Übeltäter zu finden, falls das Menu diese Möglichkeit liefert. Allerdings belastet soetwas ja zusätzlich die CPU/den Speicher des Speedports.

tim.marcus

2. Könnte ein anderer Router (z.B. Fritz!Box 7590) möglicherweise das Problem ohne Abbruch der Internetverbindung ausregeln?

2. Könnte ein anderer Router (z.B. Fritz!Box 7590) möglicherweise das Problem ohne Abbruch der Internetverbindung ausregeln?

tim.marcus

2. Könnte ein anderer Router (z.B. Fritz!Box 7590) möglicherweise das Problem ohne Abbruch der Internetverbindung ausregeln?

Ein aktueller Router hat sicherlich eine deutliche schnellere CPU und auch mehr Speicher, so dass er sich durch einen DDOS nicht so leicht aus dem Tritt bringen lässt.

Gruß Ulrich
0
5 years ago

@tim.marcus schrieb:
Die Datenschutzstufe im Speedport steht auf Stufe 2.

Tritt das Problem auch auf Datenschutzstufe 1 zu? (Standard-Einstellung)

Da ich dutzende Geräte (überwiegend via WLAN bzw Repeater) im eigenen Netzwerk habe ...

Wird auch PowerLAN verwendet? (Auch bekannt als Devolo oder dLAN .)

Gibt es eine Möglichkeit zu prüfen, ob die Ursache für den o. g. DOS Angriff aus dem eigenen Netzwerk liegt oder ob der Speedport tatsächlich einen Angriff von außen abwehrt?

Zweites trifft meines Erachtens wohl eher zu.

Der Speedport wehrt Angriffe ab.

Bei mir sind solche Meldungen am W 724V noch nie vorgekommen.

Könnte sich aber auch um eine Falschmeldung handeln.

Könnte ein anderer Router (z.B. Fritz!Box 7590) möglicherweise das Problem ohne Abbruch der Internetverbindung ausregeln?

Schwer zu sagen.
4
Answer
from
5 years ago
Aus meinen Erfahrungen mit dem W921V sind diese Warnungen ignorierbar, die Speedport reagieren da etwas empfindlich auf Datenverkehr mit vielen kleinen Paketen (Spiele, Sharing, usw), oft auch weil die IP vorher so genutzt wurde). Und wenn wirklich was dahinter stecken sollte, die Firewall hat es dann ja erfolgreich abgewehrt.
Also kein Grund zur übermäßigen Sorge da.
Answer
from
5 years ago
Syn-Flood Attacken sind halboffene Verbindungen die ausschließlich bei TCP entstehen - weil der Angreifer das ACK Paket nicht sendet.

Somit kommt der Router ins Schwitzen, weil er hunderte oder tausende halboffene Verbindungen verwalten muss.

Ein typisches Denial-of-Service Szenario.

UDP Pakete können dies nicht auslösen, weil es simpel diesen Verbindungsaufbau so nicht gibt.

Aber ja, die Meldungen kann man ignorieren - solange es ansonsten keine negativen Effekte gibt.

Wenn hier aber wirklich keine Internetverbindung funktioniert (obwohl die DSL Verbindung synchron ist) dann gibt es wohl

wirklich eine Attacke oder eine andere Ursache

Answer
from
5 years ago

Stefan

Somit kommt der Router ins Schwitzen, weil er hunderte oder tausende halboffene Verbindungen verwalten muss. Ein typisches Denial-of-Service Szenario.

Somit kommt der Router ins Schwitzen, weil er hunderte oder tausende halboffene Verbindungen verwalten muss.

Ein typisches Denial-of-Service Szenario.

Stefan

Somit kommt der Router ins Schwitzen, weil er hunderte oder tausende halboffene Verbindungen verwalten muss.

Ein typisches Denial-of-Service Szenario.

Der Speedport W 724V Typ C war und ist ja immer noch mein "kleiner Liebling", den ich jahrelang genutzt habe, weil er für meine Internet- und Netzwerk-Bedürfnisse völlig ausreichend war und üblicherweise sehr stabil lief.

Allerdings hat er manchmal etwas "unverständlich" reagiert, wenn er zum Beispiel durch die Indizierung der Mediendateien durch den internen Medienserver "ins Schwitzen geriet" und dann der Arbeitsspeicher und wahrscheinlich auch die CPU "voll am Anschlag" waren.

Dies auch meine Vermutung für die Trennung/den "Absturz" der Internetverbindung.

Gruß Ulrich

Unlogged in user
Answer
from