Angriff SYN Flood to Host

Gelöst
Hallo,

ich habe im Router wieder einen Angriff endeckt:

Genaue Meldung:
28.02.2013 14:56:37 DoS(Denial of Service) Angriff SYN Flood to Host wurde entdeckt(FW101)

Das ist in letzter Zeit schon häufiger passiert.

Wie kann ich solche Angriffe verhindern und wie kommen diese zustande?

Gruß
daniel1993
2 AKZEPTIERTE LÖSUNGEN
Lösung
Telekom hilft Team
Hallo @kaberle,

das sind zwei unterschiedliche Vorgänge. Der mobile Norton hat mit seiner Meldung heute schon einige erschreckt: Siehe bitte in diesen Thread:

https://telekomhilft.telekom.de/t5/Apps/Sammelthread-Norton-Mobile-meldet-Beeintraechtigtes-Netzwerk...

Gruß

Jürgen Wo.

Lösung in ursprünglichem Beitrag anzeigen  

Lösung
Community Managerin

Hallo zusammen,

möchte gern nochmal auf das Ursprungsthema dieses Threads zurückkommen.

Seit letzter Woche gibt es für den Speedport W 724V Typ C eine neue Firmware (Version 09011603.00.018). Falls sie noch nicht automatisch aufgespielt wurde, kann sie hier heruntergeladen und manuell installiert werden:

http://hilfe.telekom.de/hsp/cms/content/HSP/de/3388/FAQ/theme-615969095/Speedport-W-724V-Typ-C;jsess...

Mit dieser Firmware wird das hier im Thread diskutierte Problem behoben. In den Systemmeldungen erscheint bei Verbindung mit einem MR303 nun kein Eintrag zu einem vermeintlichen DoS-Angriff mehr.

Grüße von
Schmidti

Lösung in ursprünglichem Beitrag anzeigen  

Wie kann ich solche Angriffe verhindern
Nur, in dem Du den Stecker ziehst und keine Verbindung zum Internet hast. U.U. ist es aber auch eine fehlerhafte Warnung.
Gelöschter Nutzer
U.U. ist es aber auch eine fehlerhafte Warnung.
Mit an Sichehrheit grenzender Wahrscheinlichkeit ist es so, leider steht in diesen Meldungen nicht woher und wohin, so daß man damit nichts anfangen kann.
Heute wieder etwas neues:

02.03.2013 23:49:03 DoS(Denial of Service) Angriff Vecna Scan wurde entdeckt. (FW101)
02.03.2013 23:48:47 DoS(Denial of Service) Angriff Vecna Scan wurde entdeckt. (FW101)

02.03.2013 23:18:39 DoS(Denial of Service) Angriff Smurf wurde entdeckt. (FW101)
02.03.2013 23:18:33 DoS(Denial of Service) Angriff Smurf wurde entdeckt. (FW101)
02.03.2013 23:18:30 DoS(Denial of Service) Angriff Smurf wurde entdeckt. (FW101)

Smurf, Venca Scan und SYN Flood *kritisch
Genaue Meldung:
28.02.2013 14:56:37 DoS(Denial of Service) Angriff SYN Flood to Host wurde entdeckt(FW101)

Die Meldung habe ich schon oft genug aus meinem Router Log kennen gelernt, auch genügend andere. Mittlerweile werden diese Meldungen von mir ignoriert. Anfangen kann man mit der Meldung eh nichts, wenn nicht die IP vom "Angreifer" dabeisteht, und solange die Angriffe geblockt werden ist ja alles im grünen Bereich

Hallo nettes Forum. 

 

diesbezüglich melde ich mich auch mal, und hoffe das auch das Telekom hilft Team sich dazu mal äußert.  Wie man so schön erkennen kann sind dies ja nun sehr häufige angriffe.... 

 

Das komische daran is, das ich den Router erst seit Freitag besitze, und nun folgen angriffe... wie oben gesagt, wäre nett wenn sich das hilfe Team auch mal dazu äußert, oder sind es zu wenige die sich dazu melden!?

 

Lg Chris 

 

Ps DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101) und das im Minuten Takt. 

Hallo coretime,

 

willkommen in der Telekom hilft Community!

 

Welchen Typ W 724V haben Sie in Gebrauch? A, B oder C?

 

Haben Sie Entertain und somit einen Media Receiver im Einsatz?

 

Verschwinden die Einträge, wenn der Media Receiver stromlos gemacht wird?

 

Und letzte Frage: Gibt es irgendwelche Beeinträchtigungen, außer der optischen Verstopfung der Systemmeldungen Ihres Routers?

 

Gruß

Matthias Bo.

Leider habe auch ich das Problem.
Des öfteren geht die Leitung verloren (sowohl VDSL-INTERNET als auch die Telefoniefunktion - ich werde sogar von Telefonen getrennt).

Ich habe TYP C  mit aktuellster Firmware...

29.04.2015 21:38:45 Die Internet Telefonie Verbindung (+4963588xxxxxx) wurde erfolgreich hergestellt: IP-Adresse: 79.xxx.xx.153, Internet-Rufnummer: +496358xxxxxxx (V101)

29.04.2015 21:38:43 DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

Ich habe exakt dasselbe Problem: Einen neuen Anschluss Magenta M mit IP-Telefonie, einen neuen Router Speedport 724 Typ C und ständige SYN-Flood-Angriffe, die zu ganz langsamer Verbindung und Abbrüchen bei Internetverbindung und Telefonie führen, ich bin schon einige Male aus Kundentelefonaten geworfen worden, sehr angenehm. Manchmal ist auch die Sprachqualität bescheiden, so dass ein Kunde noch mal anrufen musste. 

Die Hotline war so nett, mir Hilfe in Aussicht zu stellen – aber nur dann, wenn ich die Computerhilfe buche, für 2 Jahre à 6 Euro im Monat. Das ist mir dann doch etwas teuer für ein Problem, das ich ziemlich klar auf Seiten der Telekom vermute. Ich habe schon viel Zeit damit verbracht, auf diesen und anderen Forenseiten nach einer Lösung zu suchen und keine gefunden, keine einzige. 

Vielen Dank im Voraus für eine schnelle Lösung.

PS: Gibt es ein Sonderkündigungsrecht für den Fall, dass der Anschluss weiterhin nicht zuverlässig funktioniert?

Wenn man sich dieses Forum anschaut , stellt man Fest das die Telekom-Mitarbeiter in den meisten Fällen immer wieder Neue Fragen stellen , anstatt auf die Fragen mit detaillierten Schilderungen von Telekom-Usern zu antworten. 

Es gibt offensichtlich Probleme mit dem Speedport 724 V Typ c und die Telekom verkauft die Hardware fleißig weiter - ebenso die speetphone Serie. 

 

Wenn man alle Telekom -Kunden, die sich mit Problemen an Sie wenden und letztendlich nur ihre Zeit gestohlen bekommen einmal zu einem Spaziergang zur Telekom - Zentrale einladen würden ... wäre dass vielleicht eine Kennzahl die ihr Managment verstehen würde ? 

 

Helfen Sie Ihren Kunden ! 

Ja, ich sehe das ähnlich. Da scheint etwas mit dem Produkt nicht zu stimmen und nirgendwo findet man auch nur den Hauch einer Antwort. Angriffe von außen, ok, aber wenn man mir verspricht, die Computerhilfe könnte das abstellen, aber erst nach Abschluss eines solchen Hilfe-Abos, finde ich das auch durchaus fragwürdig. Telekom-hilft ist von der Idee her eine feine Initiative, aber es wäre schön, wenn dann auch was Konstruktives passieren würde.

Hallo in die Runde,

 

die Fragen die wir hier stellen, machen durchaus Sinn.

 

Meine Fragen auf den Eröffnungbeitrag zielen in eine bestimmte Richtung, so wie auch Fragen meiner Kollegen in anderen Threads.

 

Coretime hat sich nicht wieder gemeldet, vermutlich gibt es keine weiteren Beeinträchtigungen. Die Einträge in den Systemmeldungen des Routers weisen in erster Linie auf eine *funktionierende* Firewall hin.

 

In der Regel sind diese Einträge zu vernachlässigen und stehen nicht im Zusammenhang mit Beeinträchtigungen der Telefonie oder DSL-Abbrüchen.

 

In einigen Fällen mag eine überempfindliche Firewall aber tatsächlich zu Beeinträchtigungen führen und genau in diese Richtung zielen meine Fragen.

 

Gruß

Matthias Bo.

 

 

Matthias,

wie lange schlagen wir uns schon mit diesen "Problemen" rum und immer noch sind die Systemmrldungen für die Tonne und bei Entertain Multicast darf es schon erst Recht nicht passieren. Ich hab da bei solchen Fragen auch Bauchschmerzen.
Gruss
bb

Hallo Matthias Bo.,

danke fürs Hilfsangebot, ich hab testweise den Media Receiver vom Strom genommen, bekomme aber weiterhin diese Meldungen im System:

06.05.2015 09:25:22DNSv6-Fehler: Der angegebene Domainname kann nicht von 2003:180:2:2000::53 aufgelöst werden. Fehler: Non Existent Domain (P008)

06.05.2015 09:17:31DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

Gut, irgendwo anders hab ich gelesen, die DNSv6-Fehler seien "normal" für den Dual-Stack-Betrieb, bleiben die SYN-Flood-Meldungen. Verbindungsabbrüche gibt es hier scheinbar grad nicht mehr so viele, aber ich telefoniere auch viel mobil mittlerweile, mit Kunden ist mir das einfach peinlich, wenn da mittendrin das Gespräch wegknickt.

Kann man diese Sintflut an Fehlermeldungen also definitv ignorieren und muss den Gund für Abbrüche woanders suchen, wenn sie wieder auftreten? Warum gibt es denn nur so viele Telekom-Kunden mit demselben Routermodell und denselben Fragen/Problemen? Irgendwo anders hab ich dann auch gelesen, wie jemand eine FritzBox angeschafft hat und damit die Schwierigkeiten los war. 

Probleme können ja auftauchen, aber richtig unangenehm wird's dann, wenn man auf unzählige Threads stößt, alles durchforsten muss, sich alle Informationsbröckchen mühsam selbst zusammensuchen muss. Bei meinem Stundensatz hab ich dabei schon einiges an Nerven und geldwerter Zeit gelassen. 




Hallo Tina2009,


danke fürs Hilfsangebot, ich hab testweise den Media Receiver vom Strom genommen, bekomme aber weiterhin diese Meldungen im System....

danke für die Info.

 

Jetzt weiß ich, dass der Media Receiver nicht der Verursacher der "SYN Flood..." Meldungen ist.


Gut, irgendwo anders hab ich gelesen, die DNSv6-Fehler seien "normal" für den Dual-Stack-Betrieb..

Dass DNSv6-Fehler zurzeit noch auftreten ist in der Tat normal. Es sind noch nicht alle Webseiten per IPv6 erreichbar. Ist auch nicht weiter schlimm, es findet sofort ein Fallback auf IPv4 statt.

 

Dass der Router diese gescheiterten IPv6 Namensauflösungen protokolliert, halte ich allerdings auch nicht für normal, sondern für absolut überflüssig.

 

Diese Fehlermeldungen im Routerlog verunsichern unsere Kunden, was dann zu vielen Nachfragen, auch hier im Forum, führt. In der Regel gibt es aber keinerlei Beeinträchtigungen. Auch nicht durch die häufigen Einträge der Firewall (SYN Flood), die doch manchmal etwas sensibel reagiert.


Kann man diese Sintflut an Fehlermeldungen also definitv ignorieren und muss den Gund für Abbrüche woanders suchen, wenn sie wieder auftreten? Warum gibt es denn nur so viele Telekom-Kunden mit demselben Routermodell und denselben Fragen/Problemen?

Kommt auf die Definition  von "Sintflut" an. Beim Surfen im Internet können die IPv6-Fehler gehäuft auftreten. Die Einträge der Firewall (Angriff...) können, wenn Sie im Sekunden oder Minutentakt auftreten schon Auswirkungen haben.

 

Dann muss es aber auch eine Ursache geben, die man genauer erforschen müsste. In diese Richtung zielte die Frage zum Media Receiver.

 

Bei Ihnen gibt es Schwierigkeiten mit der Telefonie? Was funktioniert genau nicht?

 

Gibt es Einträge zur Telefonie im Routerlog?

 

Haben Sie einen ISDN-Adapter im Einsatz?

 

Sind Ihre Telefone an der Dect-Basis vom Router angeschlossen?

 

Ich habe hier einige aktuelle Lösungen mitgebracht:

 

https://telekomhilft.telekom.de/t5/Telefonie/IP-Telefonie-Gespr%C3%A4chsaufbau-ankommend-und-abgehen...

 

https://telekomhilft.telekom.de/t5/Telefonie/Telefonie-Speedphone-10-Abbruch-im-Zusammenspiel-mit-Sp...

 

Gruß

Matthias Bo.

 

 

 

 

 

 

Hallo,

 

habe selbiges Problem.Speedport 724 V Typ C.DSL+Entertain.Folgende Meldungen finde ich im Router zuhauf.

 

DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

 DoS (Denial of Service) Angriff RateFloodUdpInput wurde entdeckt. (FW101)

 

Leider geht das ganze nicht spurlos an meinem Router vorbei.Sporadisch fällt das ganze Internet aus.Nur die Power-Lampe blinkt rot.Die restlichen Lampen sind alle aus.Nach einigen Neustarts des Routers fährt dieser wieder hoch und die Verbindung steht wieder.Bis zum nächsten Ausfall...Es hat den Anshein als bricht der Router unter der Last zusammen.Was kann ich dagegen tun?

 

 

 


@Haas__Florian schrieb:

habe selbiges Problem.Speedport 724 V Typ C.DSL+Entertain.


Was für einen oder mehrere Media Receiver betreibst Du am Speedport und wie sind diese mit dem Speedport verbunden?

 

Gruß Ulrich

Es handelt sich um einen Media-Receiver Typ 303 A+,verbunden über LAN.Der Fehler tritt allerdings auch im Receiver-Standby-Modus auf.Ansonsten hängen noch ein Samsung-Smart TV,PS4 und der PC  am Router über LAN.Über WLAN noch einige andere Geräte.


@Haas__Florian schrieb:

Es handelt sich um einen Media-Receiver Typ 303 A+,verbunden über LAN.


Parallel zu Deiner Antwort habe ich hier einen MR303B+ sowie drei MR102+ in Betrieb genommen. Entsprechende "Syn Flood ..." Einträge hat mein SP W 724V Typ C nicht registriert. D.h., entweder stammen sie ausschließlch von den MR303A-Typen oder es gibt noch eine andere Ursache.

 

Gruß Ulrich

Hallo Matthias Bo.,

nein, am Media Receiver scheint es nicht zu liegen.

Bei Ihnen gibt es Schwierigkeiten mit der Telefonie? Was funktioniert genau nicht?

 

Genau, seit Tag 1 der Umstellung auf IP-Telefonie und Routerwechsel von Speedport 723 auf Speedport 724 werde ich immer wieder aus Kundentelefonaten geworfen oder bekomme keine Verbindung, wenn ich telefonieren möchte. Man sicherte mir eine super hohe Ausfallsicherheit zu, als ich der Umstellung zustimmte, es hieß, dass jetzt Glasfaser und so weiter das ganze souverän arbeiten lassen. Ich hatte vorher bei einigen Angeboten abgelehnt, weil ich meine ISDN-Leitung fürs Home Office behalten wollte. 

Zusätzlich hatten wir auch Internetabbrüche hier in der ersten Woche, ich musste den Router einige Male neu starten, dann ging's wieder. Bei der Telefonie kann ich nach einem Gesprächsabbruch wieder wählen, es ist aber sehr unangenehm und wirklich peinlich. Zudem hab ich jetzt keine Anrufliste mehr (also nur im Browser) und keine Dreierkonferenz und all die Dinge, die man bei beruflicher Nutzung so braucht. Ich bin echt schwer enttäuscht. 

 

Gibt es Einträge zur Telefonie im Routerlog?

 

Nein. Beim letzten Gesprächsabbruch wurde nur unter "Anrufe" (nicht im Routerlog) dokumentiert, dass ich nach ca. 2 Minuten dieselbe Nummer wieder wählen musste. Hotline und Diagnose waren oder sind auch schon dran, bisher erfolglos, wie es scheint.  

 

Haben Sie einen ISDN-Adapter im Einsatz?

 

Sind Ihre Telefone an der Dect-Basis vom Router angeschlossen?

Wie gesagt, ich vermisse meine ISDN-Funktionen schmerzlich, mochte aber nicht noch investieren in ein System, das einfach nicht funktioniert. Ich hab jetzt einen Adapter bei Ebay erstanden, der ist aber noch nicht da. Die Dame an der Hotline meinte aber schon vorab, dass das oft nicht so gut funktioniert. Prima, dass das dann trotzdem angeboten wird ...

Mein Siemens Gigaset ISDN-Telefon und ein weiteres altes Gigaset sind als DECT-Mobilteile am Router angemeldet, den analogen Anschlüssen am Router sind aber Nummern zugewiesen, an einem hängt das Faxgerät.

 

Speedphone hab ich keins, wie gesagt, ich mag da grad nicht noch Geld hinterherwerfen ... Das soll bitte ERST funktionieren, bevor ich den Gerätepark hier groß aufstocke.

Hilft das weiter?

Vielen Dank fürs Kümmern.

@Tina2009: Du könntest Deinen SP W 724V Typ C testweise mal auf diese:

 

http://hilfe.telekom.de/dlp/eki/downloads/Speedport/Speedport%20W%20724V%20Typ%20C/Firmware_Speedpor...

 

ältere Firmware-Version downgraden. Nach einem Downgrade den Speedport aber auf Werkseinstellungen zurücksetzen und neu konfigurieren.

 

Für den ISDN-Adapter wird seit diesem Monat eine neue FW-Version automatisch verteilt.

 

Gruß Ulrich

@UlrichZ Danke für den Tipp, das kann ich machen. Ich weiß aber nicht, ob die Diagnose da grad noch dran ist oder draufguckt, vielleicht sprech ich vorher mit denen. Ich mag langsam aber auch nicht mehr Stunde um Stunde mit Konfiguration und Tests und so weiter verbringen, das ist doch eigentlich Job der Telekom, Produkte anzubieten, die funktionieren oder ggf. Probleme zu beheben. Ich helf gern mit, aber da kommt irgendwann auf Kundenseite ein nicht unerheblicher Verdienstausfall zusammen.

Hi Tina,


Genau, seit Tag 1 der Umstellung auf IP-Telefonie und Routerwechsel von Speedport 723 auf Speedport 724 


der Wechsel auf den W 724V wäre nicht nötig gewesen. Mit dem W 723V funktioniert IP-Telefonie genauso, wenn nicht sogar besser. Die Firmware ist "reifer".

 

Für Dich wäre ein W 921V die richtige Wahl gewesen, bringt einen s0-Bus für deine ISDN-Geräte mit.

 

Für Geschäftskunden mit IP-Anschluss ist auch eher dieses Gerät geeignet:

 

https://geschaeftskunden.telekom.de/startseite/festnetz/tk-anlagen-und-endgeraete/headsets-und-zubeh...

 

Matzelinho

 

 

Danke @Matzelinho, genau die Info hätte ich mal von Telekom-Seite gebraucht – in dem Moment, in dem ich meinen Bedarf geschildert hab und meine Aufstellung hier. Ich glaube, mein Vater hat so einen Zyxel-Router, der wurde mir nicht angeboten, auch nicht auf Nachfrage. Nur für Geschäftskunden, klar, aber ich könnte ja einer sein, nech. 

Ich kann ja mal bei eBay nach einem 921er gucken ... Jetzt, wo der ISDN-Adapter ersteigert ist. Zwinkernd Was ein Chaos. 

@Matzelinho Der Gerätetausch wurde explizit so angeleiert, vermutlich, weil ich mein ISDN-Gerät da als DECT-Mobilteil anmelden kann – nur leider ohne die Funktionen ...