DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

Gelöst

Zwar gibt es zum o. a. Thema bereits einige Beiträge in diesem Forum, aber eine Lösung hierzu konnte ich bisher nicht finden.

 

Seit gestern nutze ich den MagentaS-Tarif. Hierzu habe ich einen neuen Router (Speedport W 724V, Typ C) angeschlossen. Zusätzlich wurde noch ein Speedphone 10 angeschlossen.

 

In den System-Meldungen des o. a. Routers ist mir aufgefallen, dass sowohl gestern als auch heute folgender Eintrag zu finden ist (je 1x):

 

DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

 

Muss man sich Sorgen machen?

 

Für hilfreiche Antworten bedanke ich mich recht herzlich im Voraus.

 

Viele Grüß

Christian

 

PS: Firmware-Update des Routers ist aktuell: 09011603.00.025

1 AKZEPTIERTE LÖSUNG
Lösung

Das ist eine Fehlfunktion des Typ C, so teilte mir ein Telekom-Techniker mit und man muss sich darüber keine Sorgen machen. Das Problem was mich dabei aber am meisten stört ist, daß der Speicher für diese Mini-Textdatei viel zu klein ausgelegt ist, ältere Einträge "fallen dann hinten runter". In meinem Fall ist der letzte Eintrag in dem Log selten älter als 12-14 Stunden.

Lösung in ursprünglichem Beitrag anzeigen  

Lösung

Das ist eine Fehlfunktion des Typ C, so teilte mir ein Telekom-Techniker mit und man muss sich darüber keine Sorgen machen. Das Problem was mich dabei aber am meisten stört ist, daß der Speicher für diese Mini-Textdatei viel zu klein ausgelegt ist, ältere Einträge "fallen dann hinten runter". In meinem Fall ist der letzte Eintrag in dem Log selten älter als 12-14 Stunden.

Das ist doch mal eine Antwort, mit der ich (als Laie) etwas anfangen kann!Fröhlich

Vielen Dank für deine Hilfe.

 

Hoffen wir mal, dass diese Fehlfunktion recht bald mit einem Firmwareupdate behoben werden wird. Wenn man sich hier im Forum umschaut (was ich in den vergangenen ein bis zwei Stunden getan habe), sieht man jedoch, dass diese Fehlfunktion schon recht lange bekannt ist, ohne dass es bisher eine Lösung für dieses Problem gibt. Na ja, vielleicht kann dises DoS-Problem mit dem Speedport ja doch noch irgendwann gelöst werden.


-Christian- schrieb: 

Hoffen wir mal, dass diese Fehlfunktion recht bald mit einem Firmwareupdate behoben werde wird. ........Na ja, vielleicht kann dises DoS-Problem mit dem Speedport ja doch noch irgendwann gelöst werden.


Ich fürchte da wird sich nicht mehr viel tun. Telekom verschickt ja selbst hauptsächlich als Tauschgeräte Typ A raus - wie das bei neuen aussieht kann ich nicht sagen. 

Ich Bloedmann hab den Router dazumal gekauft, in der Hoffnung ein Premium-Modell zu erstehen......nun siehste ja was draus geworden ist. Da ist ja nicht nur das Problem mit dem Log.....und wer die andren Sachen wo nicht funktionieren nicht braucht, der stört sich nicht dran und reklamiert's nicht, muss demzufolge auch nicht getauscht werden  -  so einfach ist das. 

Na ja, dieser Router ist recht einfach gehalten, teilweise jedoch zu einfach. So stört es mich beispielsweise, dass man nicht in der Lage ist, die Telefonbucheinträge im Router, die man dort mühsam eingehämmert hat, als Liste zu exportieren bzw. im Bedarfsfall zu importieren. Das sollte doch technisch leicht umzusetzen sein. Auch diesbezüglich hat es hier schon einigen Anfragen gegeben, aber auch hier wieder ohne zufriedenstellende Lösung.

 

Manchmal frage ich mich, ob der 724er Router überhaupt noch aktiv unterstützt wird. Vielleicht arbeitet man ja schon an einem Nachfolgemodell, so dass der 724er Router nun allmählich ins technische Abseits befördert wird.

 

Ansonsten bin ich erst dabei, meinen Router etwas intensiver zu erkunden. Bis vorgestern war hier noch mein alter Speedport W 700V im Einsatz -- ein Kasten, der etwas in die Jahre gekommen ist, der aber (fast) nie Probleme gemacht hat.

@-Christian- und @ellbogen: eine Fehlfunktion ist das sicherlich nicht. Der Fehler ist, dass die verursachende IP nicht mit angezeigt wird und daher die Meldung so gut wie nutzlos ist. Die Meldung kann selbst durch Aufruf dieser Seite:

 

http://www.four.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

 

ausgelöst werden, welche zeigt, dass die Port-Scan-Erkennung funktioniert. Die besagte Routerfunktion soll wohl diese Sicherheitsanforderung umsetzen, siehe Punkt 9.17.

 


@-Christian- schrieb:

Manchmal frage ich mich, ob der 724er Router überhaupt noch aktiv unterstützt wird. Vielleicht arbeitet man ja schon an einem Nachfolgemodell, .


Das Nachfolgemodell ist doch soeben auf den Markt gekommen und wird vermutlich zur IFA offiziell vorgestellt:

 

https://www.amazon.de/TELEKOM-Speedport-Smart-ADSL2-Gigabit/dp/B01J9NJBWG/ref=sr_1_1?ie=UTF8&qid=147...

 

https://de.wikipedia.org/w/index.php?title=Speedport&stable=0&redirect=no

 


@-Christian- schrieb:
ein Kasten, der etwas in die Jahre gekommen ist, der aber (fast) nie Probleme gemacht hat.

Macht Dir denn die besagte Meldung "Probleme"?

 


@-Christian- schrieb:

Na ja, dieser Router ist recht einfach gehalten, teilweise jedoch zu einfach..


Wenn er Dir "zu einfach" ist, warum hast Du keinen anderen genommen? Die Funktionen und Möglichkeiten können doch vorher geprüft werden, ein Blick in die Bedienungsanleitung hätte

 


@-Christian- schrieb:

So stört es mich beispielsweise, dass man nicht in der Lage ist, die Telefonbucheinträge im Router, die man dort mühsam eingehämmert hat, als Liste zu exportieren bzw. im Bedarfsfall zu importieren.

diesen Kritikpunkt doch vorher schon erkennen lassen können. Übrigens gibt es einen Workaround. Bei Nutzung eines Speedphones können per Speedphone "gesicherte Telefonbücher" wieder zurückgespielt werden.

 

Die Speedport Serie ist bewusst recht einfach gehalten, um den nicht IT-affinen Nutzer nicht zu überfordern und den Support im Rahmen zu halten. Wer mehr will muss sich halt am Markt den Router beschaffen, der die eigenen Anforderungen erfüllt.

 

Der neue Speedport Smart bietet gegenüber der SP W 724V Serie einiges mehr, was aber sicherlich von einem nicht unerheblichen Anteil der zukünftigen Nutzer gar nicht gebraucht/genutzt wird.

 

Gruß Ulrich

 

Gelöschter Nutzer

Auf die Frage zu "DoS (Denial of Service) Angriff SYN Flood wurde entdeckt (FW101)" erhielt ich mal von @Gelöschter Nutzer die Antwort:

"Nein, das ist kein Versuch Schadsoftware zu installieren sondern deinen Anschluss mit vielen Anfragen auf deine offizielle IP Lahmzulegen. Das wird z. B. auch bei großen Webseiten gemacht um diese Lahm zu legen. Lohnt bei einem PK Anschluss meist nur nicht. Ist aber völlig normal im Internet."

salagou44


@salagou44 schrieb:

"Nein, das ist kein Versuch Schadsoftware zu installieren sondern deinen Anschluss mit vielen Anfragen auf deine offizielle IP Lahmzulegen......


Das wiederrum stimmt definitiv nicht, da der Anschluss in keiner Weise beeinträchtigt ist und ebenfalls andere Router (DLink DIR 615 glaub ich und Fritzbox) keine Nachrichten diesbezüglich ausgeben.

Somit an die Adresse von @UlrichZ: Das ist wohl eine Fehlfunktion dieses Gerätes.


@ellbogen schrieb:

Somit an die Adresse von @UlrichZ: Das ist wohl eine Fehlfunktion dieses Gerätes.


Ich gehe auch nach wie vor von einer Fehlfunktion aus. Die anderen hier aufgezeigten Möglichkeiten sind mir zu spekulativ. Vielleicht kann sich ja zu diesem Thema jemand von der Telekom melden, damit wir hier eine definitive Antwort bekommen.

@ellbogen: wenn Dir Dein Nachbar einen Zettel in Deinen Briefkasten wirft auf dem steht, dass in Deiner Abwesenheit jemand um Dein Haus schlich und an allen erreichbaren Türen und Fenster probierte, ob diese geöffnet sind, dann ist dieser Zettel Deines Nachbarn also eine Fehlfunktion. Weil nämlich der Nachbar des Hauses gegenüber dessen Eigentümer nicht per Zettel informiert hat. So Deine Logik!

 

Und für den Eigenversuch des "Türruckelns" habe ich ja einen Link genannt. Solche Port-Scans sind ganz alltäglicher Internetalltag, daher werden diese auch von vielen Routern gar nicht protokolliert. Die Erkennnungsfunktion solcher Anfragen aber als Fehlfunktion zu bezeichnen, halte ich für falsch.

 

Gruß Ulrich

 


@-Christian- schrieb:

Ich gehe auch nach wie vor von einer Fehlfunktion aus..


Wieso, hast Du den von mit den genannten Test mal durchgeführt?

 

Und dann schau Dir mal das an:

 

http://map.norsecorp.com/#/

 

Schönes Kino, leider realistisch, das zeigt, dass ständig versucht wird, in Netzwerke einzudringen oder welche lahmzulegen.

 

Gruß Ulrich

@UlrichZ,

hab eben mal den Test von Seite 2 bei Heise.de angestoßen. Erstmal per Smartphone, dswg. auch keine Grafik. Lies mal die Zeile über dem Ereignisfenster.

Screenshot_2016-08-28-11-43-33.png

Habe wieder einen solchen DoS-Eintrag gefunden:

28.08.2016 04:46:30

DoS (Denial of Service) Angriff SYN Flood wurde entdeckt. (FW101)

 

Um 04:46 Uhr habe ich keine Tests durchgeführt, die einen solchen Eintrag begründen könnten -- um diese Zeit habe ich geschlafen! Daher muss ich nach wie vor von einer Fehlfuktion ausgeehen.

@ellbogen: und, was soll mir diese Zeile sagen?

 

Soviel Ignoranz habe ich selten gesehen: dieser Test ist ein Port-Scan der Router-Firewall, mit einem zusätzlichen Test auf eine bekannte Sicherheitslücke in den FRITZ!Boxen, die aber lange beseitigt ist - allerdings haben viele FRITZ!Box-Nutzer noch kein Update eingespielt.

 

Hast Du nach dem Test denn in die System-Meldungen Deines SP W 724V Typ C geschaut, ob der Heise Port Scan protokolliert wurde?

 

Gruß Ulrich

Gelöschter Nutzer

Nein, ist es nicht. Es gibt Leute die haben Rechner die Scannen ganze IP Ranges ob irgendwo Ports offen sind über die man ins Heimnetzwerk eindringen kann - die machen das von ganz alleine egal ob du oder auch der Angeifer schläft das läuft völlig automatisch so ein Portscann und da bist du auch nicht alleine.


@-Christian- schrieb:

Um 04:46 Uhr habe ich keine Tests durchgeführt, die einen solchen Eintrag begründen könnten -- um diese Zeit habe ich geschlafen! Daher muss ich nach wie vor von einer Fehlfuktion ausgeehen.


Du scheinst es auch noch nicht verstanden zu haben: wenn Dein Auto eine Funktion hätte, die jeden Versuch registriert, bei abgeschlossener KFZ-Tür die Tür zu öffnen, würdest Du auch am Morgen im Auto beim Lesen einer entsprechenden Meldung, dass um  04:46 Uhr jemand versucht hat, die Tür zu öffnen, auch sagen, ich habe ja noch geschlafen, das war eine Fehlfunktion. So Deine Logik!

 

Was nicht sein darf, kann also nicht sein!

 

Gruß Ulrich


@UlrichZ schrieb:

Du scheinst es auch noch nicht verstanden zu haben: 


Der Schein trügt! Ich habe sehr wohl verstanden, was du gemeint hast. Das bedeutet aber nicht, dass ich deinen Ausführungen zustimme.

 

Wir drehen uns hier im Kreis. Ich halte mich jetzt hier raus. Für mich ist das Thema erledigt; eine Lösung habe ich ja berits erhalten.

 

Einen stressfreien Sonntag wünscht

Christian

 

 

@UlrichZ Ich musste gerade schmunzeln. Hab in dem Zusammenhang aus Juli eine Antwort vom Team gelesen, wo Deine Ausführungen offiziell bestätigt wurden. 


@UlrichZ schrieb:

@ellbogen: und, was soll mir diese Zeile sagen?

 

Soviel Ignoranz habe ich selten gesehen.......

 

Hast Du nach dem Test denn in die System-Meldungen Deines SP W 724V Typ C geschaut, ob der Heise Port Scan protokolliert wurde?

 

 


Keine Ahnung ob da einer von Heise dabei ist. Ich habe von den sogenannten Angriffe zur Genüge und bin sicher, daß jeder wo sich im weltweiten Netz bewegt, gescannt wird. Wenn die Meldungen des w724v keine Fehlfunktion ist, dann sind wohl andere Router, die diese Meldung nicht ausgeben "unsicher"? So argumentierst du ja, Ulrich.

Seit kurzer Zeit habe ich auch nicht mehr so vielöe Meldungen in der Art, das Protokoll wird nach einem Reboot auch nicht mehr gelöscht, was vorher immer der Fall war. Hier hat Telekom scheinbar was nachgelegt bei der Firmware, obwohl es da lt. offizieller Auskunft keinen Anlass gab.....

Amen.


@ellbogen schrieb:

Hast Du nach dem Test denn in die System-Meldungen Deines SP W 724V Typ C geschaut, ob der Heise Port Scan protokolliert wurde?


Keine Ahnung ob da einer von Heise dabei ist..


Einfach die System-Meldungen aufrufen, den letzten Eintrag anschauen, dann einen Port Scan z. B. von Heise aufrufen. Danach die System-Meldungen aktualisieren/erneut aufrufen und es sollte eine entsprechende Meldung protokolliert worden sein.

 


@ellbogen schrieb:
Wenn die Meldungen des w724v keine Fehlfunktion ist, dann sind wohl andere Router, die diese Meldung nicht ausgeben "unsicher"? So argumentierst du ja, Ulrich.

Nein, so argumentiere ich gar nicht! Ich habe selbst geschrieben, dass diese Meldung wenig aussagekräftig ist, da sie keine Verursacher-IP-Adresse protokolliert und die Nutzer eher verwirrt. Aber sie ist keine Fehlfunktion, da sie ein wirklich vorhandenes Ereignis protokolliert. So wie der in meinem Beispiel genannte Zettel des Nachbarn nicht viel weiterhilft, da dort nicht protokolliert wurde, wer um Dein Haus schlich und offene Türen und Fenster gesucht hat.

Weder ohne noch mit dieser Protokollierung wird ein Router sichererer oder unsicherer, aber es handelt sich nicht um eine Fehlfunktion.

 


ellbogen schrieb:

Seit kurzer Zeit habe ich auch nicht mehr so vielöe Meldungen in der Art, das Protokoll wird nach einem Reboot auch nicht mehr gelöscht, was vorher immer der Fall war. .


Ich hatte drei SP W 724V Typ C unterschiedlichen Fertigungsdatums im Einsatz und kann diese Beobachtung, dass ein Reboot das Protokoll löschte, zumindest kein kontrollierter Reboot, nicht bestätigen.

 

Gruß Ulrich

 

 

Ich halte nach wie vor die Schlußfolgerung, daß ein einfacher Portscan vom Router als Angriff gewertet wird für hoffnungslos übertrieben, da ändert auch das mit dem Fremdling an meiner Haustür und den Fenstern nichts - im Gegenteil, das wäre dann gleichbedeutend mit "zur Haustür bzw. zum Fenster schauen" ,  also schon deutlich übertrieben daraus Schlußfolgerungen bzgl. irgendeiner kriminellen Energie dahinter zu ziehen. 

Da gäbe es bei Telekom ganz anderswo Ansätze dazu.....

 

 


@Party_Elch schrieb:

@UlrichZ Ich musste gerade schmunzeln. Hab in dem Zusammenhang aus Juli eine Antwort vom Team gelesen, wo Deine Ausführungen offiziell bestätigt wurden. 


@ Gibts da einen Link dazu oder ist das geheimes Gemauschel, @ Elch?

Schau einfach unten etwas tiefer bei den weiterführenden Hilfebeiträgen. Dort der Beitrag mit "täglich DoS..." und dann Seite 1. 

UlrichZ schrieb:

Ich hatte drei SP W 724V Typ C unterschiedlichen Fertigungsdatums im Einsatz und kann diese Beobachtung, dass ein Reboot das Protokoll löschte, zumindest kein kontrollierter Reboot, nicht bestätigen.

 

 

Naja,

dazu kann ich nur sagen, daß es dann scheinbar weitere Unterschiede gibt. Ich hatte da die bereits genannten Fehlfunktionen, zusätzlich ist regelmäßig der DNS-Updater ausgefallen bzw. hat der nicht aktualisiert. Zudem bin ich es auch leid, mich mit dieser Möhre weiter herumzuplagen. Hatte den dazumal nur angeschafft wg. einer Anschlussstörung und weil Telekom behauptete, das läge alles an meiner 7490. Die Wahrheit sah anders aus, aber ich wurde trotzdem zur Telekom-Hardware verdonnert und der Müßiggang ist immer noch am ISDN-Komfort angeschlossen, solange bis ich einen gefunden habe, wo mir das Teil abkauft.

Hallo ich habe das thema über die suche gefunden und da es recht jung ist und ich kein neues eröffnen wollte zu der thematik mit der DoS meldung schreib ich mal hier rein.

 

Ich habe täglich diese meldungen wobei der router am tag nur um die 12 stunden an ist. in diesem zeitraum habe ich mal 3 oft auch 12 dieser meldungen. Mal im stunden abstand ma im minuten auch 2 im sek abstand warn schon dabei. Auch meldungen sek nach router start waren schon dabei wobei kein gerät im netzwerk aktiv war.

 

Im netzwerk selber laufen 1mal die woche ein linux rechner und täglich eine xbox one mit der ich facebook, twitter und ab und an googel betreibe neben der youtube und twitch app.

 

nun zum wesendlichen sind soviele meldungen mit dem abständen ein anzeichen auf gefahr? oder is das einfach internet alltag und zufällig?

 

 

Ignoriere das einfach. Mir wurde von einem Netztechniker der Telekom gesagt, daß die Einträge vornehmlich im w724v C vorkommen und nichts zu bedeuten haben. Schriftlich wollte der mir das aber nicht geben.....