‎System-Meldungen im Speedport W723V, Typ B zeigen DoS Angriffe

Die Telekom hilft Community zieht um und ist bis zum 8. Januar 2025 nur eingeschränkt zugänglich.

Telekom hilft Community

Telekom Business Community

Privatkunden

Telekom Shops

Kontakt

System-Meldungen im Speedport W723V, Typ B zeigen DoS Angriffe

vor 11 Jahren

In der Regel guckt man ja eher selten sich die System-Meldungen im Router an. Allerdings hatten wir in den letzten Tagen 3 mal den Ausfall der IP-Telefonie. Wir haben seit ein paar Monaten einen IP-basierten VDSL 50 Entertain-Anschluß. Und da bin ich sozusagen zufällig auf solche Routermeldungen gestoßen:
30.01.2014 14:29:35 DHCP ist aktiv: WLAN MAC Adresse IP-Adresse Subnetzmaske DNS-Server Gateway Lease Time (H001)
30.01.2014 14:29:29 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
30.01.2014 14:29:29 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
30.01.2014 14:29:29 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
30.01.2014 14:29:29 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
30.01.2014 14:29:29 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
30.01.2014 14:27:54 DHCP ist aktiv: WLAN MAC Adresse IP-Adresse Subnetzmaske DNS-Server Gateway Lease Time (H001)
30.01.2014 10:48:14 DoS(Denial of Service) Angriff UDP Loop wurde entdeckt. (FW101)
30.01.2014 07:25:16 DoS(Denial of Service) Angriff UDP Loop wurde entdeckt. (FW101)
29.01.2014 17:18:39 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
29.01.2014 17:18:39 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
29.01.2014 17:18:39 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
29.01.2014 17:18:39 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
29.01.2014 17:18:39 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
29.01.2014 16:53:32 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
29.01.2014 16:53:32 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
29.01.2014 16:53:32 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
29.01.2014 16:53:32 DoS(Denial of Service) Angriff TCP FIN Scan wurde entdeckt. (FW101)
Was sagt diese Meldung aus? Handelt es sich um Agriffe, die von der Firewall des Routers abgewehrt wurden?
Muss man sich da Sorgen machen, wie kann man diese Angriffe verhindern?
Ich bin eigentlich absoluter Laie, aber solche Meldungen machen wir doch ernste Sorgen.
Muss es sich bei diesen Meldungen wirklich um reale Angriffe handeln, oder können diese Meldungen auch eventuell nur einen harmlosyen Hintergrund haben?
Vielen Dank für Antworten!

18982

vor 11 Jahren
Hallo hans.steinberg.33,

bitte den Speedport W723V Typ B längere Zeit (1-3 Std.) vom Netz nehmen und auch vom Stromnetz.
Bei IP basierten Anschlüssen kann es etwas dauern bis man eine neue IP vom Provider zugewiesen bekommt. Die Fehlermeldungen sollten mit einer neuen IP dann nicht mehr auftreten.
Ein Grund für diese Einträge im Protokoll können das Aktuallisieren von Internetseiten verursachen oder wenn mehrere TABS geöffnet sind und alle gleichzeitig Aktuallisieren. Dieser Vorgang wird über die Browser Pipelines gesteuert und kann Internet Seiten daran hindern zu laden. Dabei kann der sogenannte TCP FIN Scan Eintrag im Protokoll auftreten.
0
vor 11 Jahren
Nanox, vielen Dank für den Tipp, den ich befolgt habe.
Am ersten Tag danach keine neuen Einträge, aber in der vergangenen Nacht:
02.02.2014 09:02:53 WLAN-Station angemeldet: Mac-Adresse: 70:8d:09:31:57:20 (W103)
02.02.2014 08:36:27 Die Systemzeit wurde erfolgreich aktualisiert. (T101)
02.02.2014 02:36:24 Die Systemzeit wurde erfolgreich aktualisiert. (T101)
02.02.2014 02:01:58 DoS(Denial of Service) Angriff UDP Loop wurde entdeckt. (FW101)
01.02.2014 23:43:15 DoS(Denial of Service) Angriff UDP Loop wurde entdeckt. (FW101)
01.02.2014 23:31:38 DoS(Denial of Service) Angriff UDP Loop wurde entdeckt. (FW101)
01.02.2014 23:03:14 WLAN-Station abgemeldet: Mac-Adresse: 70:8d:09:31:57:20 (W001)
01.02.2014 23:03:14 WLAN-Station abgemeldet: Mac-Adresse: 70:8d:09:31:57:20 (W001)
01.02.2014 23:02:28 DHCP ist aktiv:fe80:0000:0000:0000:0000:0000:0000:0001. (DH101)
Leider!
0
vor 11 Jahren
die Meldungen sagen lediglich, dass sie der Entwickler besser weg gelassen hätte.
Genau deshalb, weil sie unerfahrene Menschen nur verunsichern und zudem in aller Regel vom Durchschnittlichen Anwender gar nicht wahrgenommen werden - wer schaut schon täglich in den Router?!

Verhindern kann man diese "Angriffe" gar nicht, bzw. nur wenn man den Router ausmacht.

Du musst DIR keine Gedanken machen!
Problematisch wird es erst, wenn Du selbst Serverdienste in das Internet stellst,
dann brauchst Du aber sowieso andere Sicherungsmassnahmen - allem voran GUTE Passwörter und Aktive Benachrichtigungen im Fall einer echten Attacke!
0
vor 11 Jahren
Hallo Stefan, Danke für die Antwort. Eigentlich gucke ich mir die Router System-Meldungen auch nicht an. Aber seit unserem Wechsel von VDSL 25 auf VDSL 50 einschl. Entertain und der gleichzeitigen Umstellung auf einen IP-basierten Anschluß traten so einige Fehler auf. 3mal gab es Ausfälle der IP-Telefonie, 2 Systemunterbrechungen weil der Router sich verabschiedete und neu gestartet werden musste. Deshalb habe ich in letzter Zeit mir doch einmal die Router-Meldungen angeguckt. Aber wie Du schon schreibst, unerfahrenen Menschen bringt das eigentlich überhaupt nichts, außer Verunsicherungen. Ich werde mich also nicht mehr drum kümmern. Nur noch eine Frage, was hältst Du vom Speedport? Ist ne Fritzbox, z.B. 7360, besser?
LG Hans
0
vor 11 Jahren
Ich bin ein Fan der Fritzbox für mich sind die Speedports suboptimal.
Sobald die Anforderungen über 0815 Userverhalten hinausgehen haben sie deutliche Einschränkungen.

Was die Ausfälle im Bereich der IP-Telefonie angeht, waren die aber Deutschlandweit, daher könnte es sein, dass der Speedport an diesen unschuldig war. Was die zwei Hänger angeht, müsste man mehr Informationen haben um es zu beurteilen.

0
vor 11 Jahren
Man wird schnell Fan der Fritzbox. Das ist nicht weiter verwunderlich, kann ich da nur sagen.
Wie Stefan Heck schon schreibt, wenn es mehr als 4711 sein soll, wird man sich umtun müssen. Auch wenn die W723 auf Linux baut, sie fühlt sich an wie Windows95.
Für ein wenig Sofa-Surfen ist die Lösung aber vollkommen OK.

Es gibt neben den diversen Fritzboxen auch für den (Semi-)Professionellen Einsatz noch einen Leckerbissen von Netgear (UTM9S) für ein paar Euro mehr.
Ich habe mitunter eine elektromechanische Zeitschaltuhr vor den Speedport geklemmt, die zu unseren Pausenzeiten aus/eingeschalten hat. Damit hatten wir einen "geplanten" Leitungsabriss. Ärgerlich nur, wenn unsere Services kurz nicht mehr im Netz waren.
Somit folgt auch bei uns alsbald der Umstieg.
Die Standard-Antwort der Telekom Hilfe ist leider auch oft "Mal aus-/einschalten". Das nervt schon im privaten Umfeld, im professionellen geht das gar nicht.

So, ich muss mal kurz Kaffee holen, sonst ist gleich die Leitung w#*.!^
0
vor 11 Jahren
Ich habe das selbe Problem, nur dass diese Meldungen auch mitten in der Nacht erscheinen, wenn niemand im Internet ist und ich glaube dass mich da jemand andauernd angreift.
0
vor 11 Jahren
Hallo simon.isinger und herzlich willkommen hier in der Feedback-Community!
Zu dem Hinweis „TCP FIN Scan“ im W 723V möchte ich Sie gerne ins Service-Forum einladen. Dort gibt es den Thread „W 921V .... “Angriff TCP FIN Scan....“. Der Router ist zwar ein anderer, allerdings ist die Meldung gleich.
Auch wenn der Thread jetzt schon einige Monde älter ist: Vielen Dank für die konstruktiven Zeilen an alle hier.
Greetz
Stefan
0
vor 10 Jahren
Hallo, darüber habe ich mich auch gewundert und einige Tage nach einer Problemlösung gesucht. Offensichtlich mögen sich der MS Internetexplorer 11 und die Firewall vom Speedport 723 V in Verbindung mit dem Popupblocker des MS IE 11 nicht. Um es kurz zu machen: IE>Extras>Popupblocker ausschalten - und der Spuck ist vorbei. Hat zumindest bei mir geholfen.
MfG U.S.
0