W921V - ständige DoS Angriffe
14 years ago
Hallo ,dies ist mein 1.Beitrag in diesem Forum.
Habe seit paar Tagen den W921V .Der Austausch mit dem W920v verlief ohne größere Probleme.
Habe noch kein Telefon oder ext.LW in Betrieb.
Nutze den Desktop-PC mit LAN und zwei iPhones+ ein iPad und ein Netbook im WLAN-Betrieb.Desweiteren ein LAN Kabel für IP-TV über Switch an 2x Mediareceiver der Telekom.Habe ein 16000+ Anschluß.Lief alles mit dem W920V perfekt ruckelfrei und sehr stabil,was Verbindungsabbrüche angeht!
So ,jetzt kommt's seit gestern fliege ich im WLAN-Betrieb ständig raus,d.h.die iPhones und anderen Geräte zeigen mir zwar ihr WLAN-Symbol an,aber ein einloggen ist nicht machbar.Dann nach einigen Minuten geht es wieder .Hab mal einen kurzen Log-Auszug für Euch ,vielleich kann sich von Euch jemand einen Reim daraus machen.Wäre sehr nett!Übrigens resettet habe ich schon ,aber leider ohne Erfolg!Repeater war immer aus !
Hier der Log :
2011-09-21 11:14:13192.168.(...) Anmeldung erfolgreich. (G101)
2011-09-21 11:13:55192.168.(...) Abmeldung erfolgreich. (G102)
2011-09-21 11:13:55Konfigurator Sitzung abgelaufen. (G103)
2011-09-21 11:13:54DHCP ist aktiv: LAN MAC Adresse (...) IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 11:12:58DHCP ist aktiv: LAN MAC Adresse (...) IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 11:11:38DHCP ist aktiv: LAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 11:11:29DHCP ist aktiv: LAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 11:04:32DHCP ist aktiv: LAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 11:04:30WLAN-Station angemeldet: Rechnername: (...), Mac-Adresse: NULL (W103)
2011-09-21 10:45:39WLAN-Station abgemeldet: Rechnername: , Mac-Adresse: (...) (W001)
2011-09-21 10:44:58DHCP ist aktiv: LAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 10:44:56WLAN-Station angemeldet: Rechnername: (...), Mac-Adresse: NULL (W103)
2011-09-21 10:37:43Die Systemzeit wurde erfolgreich aktualisiert. (T101)
2011-09-21 10:37:32DHCP Client: Empfange 'Ack' von (...),Lease time=86400
2011-09-21 10:37:32DHCP Client: Sende 'Request', Request-IP=(...)2011-09-21 09:55:10DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 09:45:48WLAN-Station abgemeldet: Rechnername: , Mac-Adresse: (...) (W001)
2011-09-21 09:45:07DHCP ist aktiv: LAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 09:45:05WLAN-Station angemeldet: Rechnername: (...), Mac-Adresse: NULL (W103)
2011-09-21 09:44:01DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 09:09:46DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 08:59:32DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 08:48:34DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 08:45:59WLAN-Station abgemeldet: Rechnername: , Mac-Adresse: (...) (W001)
2011-09-21 08:45:17DHCP ist aktiv: WLAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 08:45:15WLAN-Station angemeldet: Rechnername: (...), Mac-Adresse: NULL (W103)
2011-09-21 08:08:13DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 07:57:15DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
----------------------------------------------------------------------------------------
Wollte das Gerät eigentlich behalten,aber wenn ich keine Lösung finde ,werde ich wohl den 921'er zurückschicken müssen und 920'er behalten.Hoffentlich könnt Ihr mir helfen.
Danke !!
---
Hinweis Telekom Team:
Persönliche Daten editiert
Habe seit paar Tagen den W921V .Der Austausch mit dem W920v verlief ohne größere Probleme.
Habe noch kein Telefon oder ext.LW in Betrieb.
Nutze den Desktop-PC mit LAN und zwei iPhones+ ein iPad und ein Netbook im WLAN-Betrieb.Desweiteren ein LAN Kabel für IP-TV über Switch an 2x Mediareceiver der Telekom.Habe ein 16000+ Anschluß.Lief alles mit dem W920V perfekt ruckelfrei und sehr stabil,was Verbindungsabbrüche angeht!
So ,jetzt kommt's seit gestern fliege ich im WLAN-Betrieb ständig raus,d.h.die iPhones und anderen Geräte zeigen mir zwar ihr WLAN-Symbol an,aber ein einloggen ist nicht machbar.Dann nach einigen Minuten geht es wieder .Hab mal einen kurzen Log-Auszug für Euch ,vielleich kann sich von Euch jemand einen Reim daraus machen.Wäre sehr nett!Übrigens resettet habe ich schon ,aber leider ohne Erfolg!Repeater war immer aus !
Hier der Log :
2011-09-21 11:14:13192.168.(...) Anmeldung erfolgreich. (G101)
2011-09-21 11:13:55192.168.(...) Abmeldung erfolgreich. (G102)
2011-09-21 11:13:55Konfigurator Sitzung abgelaufen. (G103)
2011-09-21 11:13:54DHCP ist aktiv: LAN MAC Adresse (...) IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 11:12:58DHCP ist aktiv: LAN MAC Adresse (...) IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 11:11:38DHCP ist aktiv: LAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 11:11:29DHCP ist aktiv: LAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 11:04:32DHCP ist aktiv: LAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 11:04:30WLAN-Station angemeldet: Rechnername: (...), Mac-Adresse: NULL (W103)
2011-09-21 10:45:39WLAN-Station abgemeldet: Rechnername: , Mac-Adresse: (...) (W001)
2011-09-21 10:44:58DHCP ist aktiv: LAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 10:44:56WLAN-Station angemeldet: Rechnername: (...), Mac-Adresse: NULL (W103)
2011-09-21 10:37:43Die Systemzeit wurde erfolgreich aktualisiert. (T101)
2011-09-21 10:37:32DHCP Client: Empfange 'Ack' von (...),Lease time=86400
2011-09-21 10:37:32DHCP Client: Sende 'Request', Request-IP=(...)2011-09-21 09:55:10DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 09:45:48WLAN-Station abgemeldet: Rechnername: , Mac-Adresse: (...) (W001)
2011-09-21 09:45:07DHCP ist aktiv: LAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 09:45:05WLAN-Station angemeldet: Rechnername: (...), Mac-Adresse: NULL (W103)
2011-09-21 09:44:01DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 09:09:46DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 08:59:32DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 08:48:34DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 08:45:59WLAN-Station abgemeldet: Rechnername: , Mac-Adresse: (...) (W001)
2011-09-21 08:45:17DHCP ist aktiv: WLAN MAC Adresse <(...)> IP-Adresse <192.168.(...)> Subnetzmaske <255.255.255.0> DNS-Server <192.168.(...)> Gateway <192.168.(...)> Lease Time ❤️ Wochen> (H001)
2011-09-21 08:45:15WLAN-Station angemeldet: Rechnername: (...), Mac-Adresse: NULL (W103)
2011-09-21 08:08:13DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 07:57:15DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
----------------------------------------------------------------------------------------
Wollte das Gerät eigentlich behalten,aber wenn ich keine Lösung finde ,werde ich wohl den 921'er zurückschicken müssen und 920'er behalten.Hoffentlich könnt Ihr mir helfen.
Danke !!
---
Hinweis Telekom Team:
Persönliche Daten editiert
23785
13
This could help you too
18990
0
9
5 years ago
790
0
2
471
0
8
247
0
1
14 years ago
56732
0
215
14 years ago
Gruß
bb123
0
14 years ago
Du machst gerade Bekanntschaft mit der Arcadyan "Firewall" und bei diesem Gerät sind die Meldungen auch noch weniger aussagekräftig als sonst, weil noch nicht mal der Verursacher gelistet wird. Ich fürchte da wirst Du nichts machen können. Wennn Du Dir sicher bist, dass auf Deinen Geräten keine Schadsoftware ist, dann kannst Du nur drauf warten, daß es vielleicht mal eine Firmware gibt, die nicht so zimperlich ist oder Dich für ein anderes Gerät entscheiden. Gruß bb123
Du machst gerade Bekanntschaft mit der Arcadyan "Firewall" und bei diesem Gerät sind die Meldungen auch noch weniger aussagekräftig als sonst, weil noch nicht mal der Verursacher gelistet wird. Ich fürchte da wirst Du nichts machen können. Wennn Du Dir sicher bist, dass auf Deinen Geräten keine Schadsoftware ist, dann kannst Du nur drauf warten, daß es vielleicht mal eine Firmware gibt, die nicht so zimperlich ist oder Dich für ein anderes Gerät entscheiden.
Gruß
bb123
Vielen Dank an bb123 !!
Sehe ich das richtig ,das die blö.... Firewall nur mein WLAN-Verkehr blockiert und die LAN ( Kabelanschlüsse )ohne weiteres funktionieren ?
Was hälst Du vom W920V ? Würdest Du wegen der Probleme diesen behalten und den W921V zurückschicken ?
Ich bedanke mich jetzt schon !
0
14 years ago
wenn der Speedport 920 dein Eigentum ist, dann Fritze ihn.
Ich habe es gemacht und noch nicht bereut. Jetzt zeigt mir der Speedport eine Fritzbox 7570 an. Und habe volle Faxfunktionen.
Gruß mafa48
0
14 years ago
2011-09-21 09:44:01DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101) 2011-09-21 09:09:46DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101) 2011-09-21 08:59:32DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101) Wollte das Gerät eigentlich behalten,aber wenn ich keine Lösung finde ,werde ich wohl den 921'er zurückschicken müssen und 920'er behalten.Hoffentlich könnt Ihr mir helfen. Danke !!
2011-09-21 09:44:01DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 09:09:46DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
2011-09-21 08:59:32DoS(Denial of Service) Angriff TCP SYN,FIN Scan wurde entdeckt. (FW101)
Wollte das Gerät eigentlich behalten,aber wenn ich keine Lösung finde ,werde ich wohl den 921'er zurückschicken müssen und 920'er behalten.Hoffentlich könnt Ihr mir helfen.
Danke !!
Derartige "Ereignisse" sind eher positiv zu werten da ja ein Angriff entdeckt wurde.
Wie hier schon von einem anderem User festgestellt wurde fehlen natuerlich auch die Angaben ueber den Verursacher.
Sollten naemlich die Angriffe immer wieder aus einem bestimmten IP Netz z.B China stammen koennte man diese ggf. generell blocken wenn ein Speedport ueberhaupt diese Filterfunktion boete.
--- Hinweis Telekom Team: Persönliche Daten editiert
Hinweis Telekom Team:
Persönliche Daten editiert
Aha,meine LAN IP ist 192.168.99.13,wenn einer von Euch diese hackt und mir ein persoenliches Dokument aus meinen Docs zusendet gibs nen Kasten feinstes PLOP.:-)
Lasst doch BITTE diese unnoetigen Edit Spielereien.
Gruss
-ralf-
0
14 years ago
--- Hinweis Telekom Team: Persönliche Daten editiert --- Hinweis Telekom Team: Persönliche Daten editiert --- Hinweis Telekom Team: Persönliche Daten editiert Aha,meine LAN IP ist 192.168.99.13,wenn einer von Euch diese hackt und mir ein persoenliches Dokument aus meinen Docs zusendet gibs nen Kasten feinstes PLOP.:-)
--- Hinweis Telekom Team: Persönliche Daten editiert
Hinweis Telekom Team:
Persönliche Daten editiert
Aha,meine LAN IP ist 192.168.99.13,wenn einer von Euch diese hackt und mir ein persoenliches Dokument aus meinen Docs zusendet gibs nen Kasten feinstes PLOP.:-)
http://www.linux-onlineshop.de/media/images/popup/ts_i-hacked.png
0
14 years ago
Gruß Ulrich
0
14 years ago
Derartige "Ereignisse" sind eher positiv zu werten da ja ein Angriff entdeckt wurde.
Derartige "Ereignisse" sind eher positiv zu werten da ja ein Angriff entdeckt wurde.
Derartige Ereignisse entdecken schlampig programmierte Firmwares auch wenn ein Client im Netz nur mal eben eine Steam Serverliste abklappert oder mal eben ein bischen schneller Daten anfordern. Vielleicht möchte der User nur ein bischen Skypen oder macht gerade ein paar parallele Downloads oder nutzt irgendwelche Peer2Peer Dienste, die durchaus nicht unbedingt illegal sein müssen. Woraus ganz genau schliesst Du hier, dass es sich um einen "Angriff" von aussen handelt?
0
14 years ago
Derartige "Ereignisse" sind eher positiv zu werten da ja ein Angriff entdeckt wurde.
Derartige "Ereignisse" sind eher positiv zu werten da ja ein Angriff entdeckt wurde.
Woraus ganz genau schliesst Du hier, dass es sich um einen "Angriff" von aussen handelt?
Garnicht und ich schrieb auch "von aussen" nichts.
Eigenzitat:"Wie hier schon von einem anderem User festgestellt wurde fehlen natuerlich auch die Angaben ueber den Verursacher. "
Allerdings koennte man dennoch auf "aussen" schliessen denn das Logging von Angriffen aus dem eigenen Netz waere eher bei etwas hochpreisigeren oder Eigenbau Routern zu erwarten aber doch nicht bei einem Speedport Joghurt Becher.
Gruss
-ralf-
0
14 years ago
Allerdings koennte man dennoch auf "aussen" schliessen denn das Logging von Angriffen aus dem eigenen Netz waere eher bei etwas hochpreisigeren oder Eigenbau Routern zu erwarten aber doch nicht bei einem Speedport Joghurt Becher.
Allerdings koennte man dennoch auf "aussen" schliessen denn das Logging von Angriffen aus dem eigenen Netz waere eher bei etwas hochpreisigeren oder Eigenbau Routern zu erwarten aber doch nicht bei einem Speedport Joghurt Becher.
Sowas hat es allerdings in der Vergangenheit bei Speedport Routern durchaus schon
mal gegeben, siehe z.B. diesen Thread hier über einen Speedport W700V:
http://foren.t-online.de/foren/read/service/dsl-festnetz/speedports/speedport-700er-serie/udp-flood-speedport-w700v,510,7311343,page=1.html
Damals wurden noch vernünftig alle beteiligten Adressen, die Ports, das Protokoll und
die Senderichtung mitprotokolliert. Und wie man in dem verlinkten Beispiel sehen kann,
blockiert der W700W unter gewissen Umständen dann auch schon mal DNS Anfragen aus dem
eigenen Netz...
Keine Ahnung was der W921V so alles an Angriffen erkennen und blocken kann.
0
14 years ago
Allerdings koennte man dennoch auf "aussen" schliessen denn das Logging von Angriffen aus dem eigenen Netz waere eher bei etwas hochpreisigeren oder Eigenbau Routern zu erwarten aber doch nicht bei einem Speedport Joghurt Becher.
Allerdings koennte man dennoch auf "aussen" schliessen denn das Logging von Angriffen aus dem eigenen Netz waere eher bei etwas hochpreisigeren oder Eigenbau Routern zu erwarten aber doch nicht bei einem Speedport Joghurt Becher.
Sowas kommt bei Arcadyan Router alle Nase lang vor und bei ganz alten Teledat war es auch schon der Fall. Das Problem ist, man kann das weder abschalten noch einen Threshold festlegen. Ein anderes Problem ist, dass dabei auch noch die Internetverbindung lahmgelegt wird, sonst würde es ja nicht stören.
Und wie jkeil schrieb, ist das hier öfters Gegenstand der Diskussion.
0
Unlogged in user
Ask
from