UDP SYN FLOOD aus Telekomnetz

Gelöst

Servus Gemeinde, Hallo Teamies,

 

seit einiger Zeit stottern hin und wieder mal meine Mediareceiver (Frau-Unzufriedenheitsfaktor relativ hoch). Auf der Suche nach dem eventuellen Problem im Heimnetz stieß ich auf Firewallmeldungen im Speedport Smart 3, welche beim letzten mal Logmeldungen schauen im Speedport (und eine Weile bevor sich Frau das erste mal beschwerte) noch nicht da waren.

 

07.12.2021 19:43:44 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD IP] : erkannt. Als Absender wurde die Adresse 87.141.219.40 : 43962 identifiziert. Als Empfänger wurde die [Meine.IP] : 771 identifiziert.
07.12.2021 14:28:55 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD IP] : erkannt. Als Absender wurde die Adresse 87.141.217.44 : 43962 identifiziert. Als Empfänger wurde die [Meine.IP] : 771 identifiziert.
03.12.2021 22:30:39 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD IP] : erkannt. Als Absender wurde die Adresse 87.141.219.41 : 43962 identifiziert. Als Empfänger wurde die [Meine.IP] : 771 identifiziert.
02.12.2021 14:14:36 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD IP] : erkannt. Als Absender wurde die Adresse 87.141.219.43 : 43962 identifiziert. Als Empfänger wurde die [Meine.IP] : 771 identifiziert.
02.12.2021 13:43:34 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD IP] : erkannt. Als Absender wurde die Adresse 87.141.219.43 : 43962 identifiziert. Als Empfänger wurde die [Meine.IP] : 771 identifiziert.
26.11.2021 15:57:50 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD IP] : erkannt. Als Absender wurde die Adresse 87.141.217.43 : 43962 identifiziert. Als Empfänger wurde die [Meine.IP] : 771 identifiziert.

 Grob geschätzt stimmen die Zeiten mit den Aussetzern überein.

 

Ja ich weiß dass man Angriffsversuche "aus dem Internet" nicht verhindern kann, und ja ich könnte auch täglich meine IP wechseln mit den entsprechenden Datenschutzeinstellungen, aber .... worum es mir hier geht:

Die auftretenden IPs kommen alle samt aus dem Netz der Telekom, dazu sind die IPs von außerhalb des Telekomnetzes nicht erreichbar, von meinem DSL-Anschluss allerdings schon (traceroute/ping).

Laufen hier eventuell irgendwelche Telekom-internen Geräte amok?

 

Grüße

1 AKZEPTIERTE LÖSUNG
Lösung

Also ein Wechsel auf Speedport Smart 4 ist tatsächlich die Lösung. Der Techniker war vorgestern bei mir und konnte bei der Messung als auch dem Verbau keine Fehler feststellen. Durch die Recherche meines Fehlers hier im Forum habe ich dann auf ein Wechsel des Routers auf den Speedport Smart 4 gepocht. Der Techniker hatte diesen auch dabei, gewechselt und jetzt zwei Tage inkl. Streaming über Magenta TV Box getestet - Siehe da - Alles i.O.!!!

Danke an euch alle insbesondere @RoadrunnerDD 

Lösung in ursprünglichem Beitrag anzeigen  

@RoadrunnerDD 

Also die IP's scheinen in der Tat der Telekom zu gehören...

Schau mal hier:

https://whois.domaintools.com/87.141.219.41

oder auch hier:

https://whois.domaintools.com/87.141.217.44

 

Ich würde mich mal direkt über das Formular an das Abuse-Team wenden:

https://www.telekom.de/kontakt/e-mail-kontakt/abuse-missbrauchsfall

 


@prophaganda  schrieb:

Ich würde mich mal direkt über das Formular an das Abuse-Team wenden:

https://www.telekom.de/kontakt/e-mail-kontakt/abuse-missbrauchsfall

Danke für die Zweitmeinung Fröhlich Ich für mich hätte die jetzt noch nicht mit Arbeit belästigt, aber nun dann doch abgesendet.

@RoadrunnerDD 

Was mir noch aufgefallen ist:

netname:        DTAG-NGTV-SERVICE02

Hast Du zufällig Magenta-TV?

 

Wenn ja: hast Du diese Meldungen dann, wenn Du TV nutzt?


@prophaganda  schrieb:
Wenn ja: hast Du diese Meldungen dann, wenn Du TV nutzt?

Wie ich ja eingangs bereits schrieb, erst die TV-Nutzung hat mich ja überhaupt getriggert mal in die Logmeldungen zu schauen und die Zeiten passen grob geschätzt mit den Aussetzern zusammen (noch hab ich die entsprechende Aussetzer-Zeiten noch nicht notiert)


@RoadrunnerDD  schrieb:

@prophaganda  schrieb:
Wenn ja: hast Du diese Meldungen dann, wenn Du TV nutzt?

Wie ich ja eingangs bereits schrieb, erst die TV-Nutzung hat mich ja überhaupt getriggert mal in die Logmeldungen zu schauen und die Zeiten passen grob geschätzt mit den Aussetzern zusammen (noch hab ich die entsprechende Aussetzer-Zeiten noch nicht notiert)


nun könnte man natürlich auch vermuten, das der Smart3, warum auch immer, mit dem Multicast-Stream nicht mehr zurecht kommt :denkendes_Gesicht:

@RoadrunnerDD 

Ich habe da noch einen asbachuralten Thread im Cache über Google gefunden

https://webcache.googleusercontent.com/search?q=cache:Q4uHL7aAvS4J:https://telekomhilft.telekom.de/t...

Irgendwie wird wohl der UDP-Port 43962 vom Programmmanager verwendet, um festzustellen, ob der Mediareceiver online ist (wenn ich dass so richtig verstanden habe)

Ich fänds ja "lustig" wenn es es damit zusammen hängt und sich die Telekom hier bezügl. des hauseigenen Multicast-Streams leicht ins eigene Knie geschossen hat?

 


telekom.de  schrieb:
Firmware-Änderungen Speedport Smart 3 (Stand 11/2021)
Firmware Version 010137.4.9.001.1 

[...]
Verbesserungen:
Router-Sicherheit (Security)

 

@RoadrunnerDD 

Also ob das nun direkt mit den Streams was zu tun hat? :denkendes_Gesicht:

Soweit ich den Thread verstanden habe, geht es wohl irgendwie um das Thema Aufnahmen.

Hast Du zufällig irgendwie Aufnahmen geplant?

Ich vermute mal, dass dann der Programm-Manager versucht abzufragen ob der MR online ist um dann die Aufnahme starten zu können.

Aber so tief stecke ich nun nicht in der Materie - ist jetzt nur eine Vermutung...

 

Gibt es für den Smart3 auch eine Downgrade-Version der Firmware? (also ein old-Image)

Dann mal das testen...


@prophaganda  schrieb:
Also ob das nun direkt mit den Streams was zu tun hat?

Warscheinlich nicht.

 


@prophaganda  schrieb:
Hast Du zufällig irgendwie Aufnahmen geplant?

Negativ

 


@prophaganda  schrieb:

Ich vermute mal, dass dann der Programm-Manager versucht abzufrage ob der MR online ist um dann die Aufnahme starten zu können.

Aber so tief stecke ich nun nicht in der Materie - ist jetzt nur eine Vermutung...

Eventuell läuft ja dann genau diese Abfrage amok, verursacht diese Logmeldungen, und scheixxt mir nebenbei noch die Leitung zu :denkendes_Gesicht:


@RoadrunnerDD  schrieb:
Eventuell läuft ja dann genau diese Abfrage amok, verursacht diese Logmeldungen, und scheixxt mir nebenbei noch die Leitung zu :denkendes_Gesicht:

@RoadrunnerDD 

Ich würde da eher vermuten:

Die Abfrage ist OK, jedoch mit dem Firmwareupdate kommt es mit der "verbesserten Sicherheit" nun zu Problemen...

Das würde Sinn ergeben


@prophaganda  schrieb:

Die Abfrage ist OK, jedoch mit dem Firmwareupdate kommt es mit der "verbesserten Sicherheit" nun zu Problemen...

Das würde Sinn ergeben

Warum sollte dann aber nun wieder der Multicast-Stream ins stocken geraten?


@RoadrunnerDD  schrieb:
Warum sollte dann aber nun wieder der Multicast-Stream ins stocken geraten?

Vielleicht isses ja auch nur Zufall das der Stream hakelt, und zu ähnlichen Zeiten die Logmeldungen auftauchen ... und ich weiter suchen muss, warum Frauchen meckert :frustriertes_Gesicht:

@RoadrunnerDD 

Tchja, gute Frage...

Dazu stecke ich in dem gesammtem Protokoll-Gedünst von Magenta-TV nun nicht drin...

Leider ist kein Old-Image mehr zu finden.

Ich frage mal bei den Teamis nach, ob sich das noch irgendwie anfindet und zu Verfügung gestellt werden kann...


@RoadrunnerDD  schrieb:
Warum sollte dann aber nun wieder der Multicast-Stream ins stocken geraten?

Das liegt vermutlich daran, dass der Router erstmal generell „dichtmacht“. Nicht auszuschließen dass auch andere Anwendungen kurzzeitig betroffen sind.

Nebenfrage an die Experten:

Der Paketmitschnitt auf Targetinterface "VSDL" zeichnet der vor, oder nach Firewall auf?

@RoadrunnerDD 

die Frage zum Mitschnitt kann ich leider nicht beantworten, aber eventuell magst Du mal hier schauen 

https://telekomhilft.telekom.de/t5/Offentliche-Tests-Umfragen/Labor-Firmware-Speedport-Smart-3-Versi...

 

Es gibt eine öffentliche Test Firmware.

@RoadrunnerDD 

Vorher.

 

Älter Firmwareversion finden sich bei Bedarf auf dem acs-Server.

 


@viper.de  schrieb:

eventuell magst Du mal hier schauen 

https://telekomhilft.telekom.de/t5/Offentliche-Tests-Umfragen/Labor-Firmware-Speedport-Smart-3-Versi...

Ui. Das würde zu meinem TV-Frau-Problem passen Fröhlich da sieht man mal wieder, selbst wenn man hier sucht, findet man trotzdem nicht immer alles. Danke. Wird gleich mal installiert ... auch wenns jetzt bis 9.12. mit Rückmeldungen knapp wird

@RoadrunnerDD 

Und per PM habe ich dir auch mal den Link zum Download der old-Version gesendet...

So hast Du also zwei Testmöglichkeiten...

Aber teste mal bitte erst die neue Testversion...


@RoadrunnerDD  schrieb:
auch wenns jetzt bis 9.12. mit Rückmeldungen knapp wird

@RoadrunnerDD 

Ist da was Besonderes?


@prophaganda  schrieb:
Ist da was Besonderes?

Die Rückmeldungen sollten bis einschließlich 09.12. gegeben  werden. Der Beobachtungszeitraum war einfach etwas knapp.

Jedenfalls ist bei mir nix mehr aufgetreten. Keine Ruckler, keine Firewall-Meldungen. Obs nun die Firmware ist, oder einfach nur der IP-Wechsel (durchs Firmware-Update) weiß nur der liebe Gott und der Weihnachtsmann.

An sich haben die Art meiner Aussetzer nicht zum Beschriebenen im Labor-Thread gepasst.

 

In diesem Sinne. Frohe Weihnacht :weihnachtsfrau::weihnachtsmann:

 

PS.: Das Abuse-Team hat mittlerweile auch ausgeschlafen und immerhin nach Logs gefragt


@RoadrunnerDD  schrieb:
An sich haben die Art meiner Aussetzer nicht zum Beschriebenen im Labor-Thread gepasst

Stimmt, aber es wurde in letzter Zeit öfters an diesen Funktionen rumgeschraubt, da auch andere Probleme mit Online Meetings etc hatten.

Hallo zusammen,

 

bei meinem Speedport 3 treten in letzter Zeit wieder häufiger Ruckler und mehrminütige Aussetzer, insbesondere kn Verbindung mit der Nutzung von Magenta TV auf. Sehr ärgerlich…

 

Im Log vom Router finde ich dann zu diesen Zeitpunkten folgende Meldung:

 

Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD IP] : erkannt. Als Absender wurde die Adresse 87.XXX.XXX.8 : 32176 identifiziert. Als Empfänger wurde die 217.XX.XX.126 : 771 identifiziert.

 

Kann mich da jemand unterstützen? FW etc ist aktuell.

vG

Andreas


@akcs.wegmann  schrieb:

Kann mich da jemand unterstützen?


Der Beitrag, in den Du geschrieben hast, hat 3 als Lösung gekennzeichnete Antworten.