beantwoord

DDos aanval


ExperiaBoxV8
Sinds zaterdag (vorige week) hebben wij al geen internet. Wij hebben de experia box V8 en ik heb in de logs zitten te kijken en het lijkt op een ddos aanval. Toch lijkt het erop dat als we Telfort bellen ze eromheen willen blijven draaien en blijven zeggen dat het ip adres veranderen geen optie is. Toch hebben wij gister een nieuw modem gekregen.... ze zeiden dat als we een oude modem hebben hij veel dingen kan zien als aanval. Nou dan ziet mijn nieuwe modem zeker ook alles als een aanval? Want ik zie nog steeds de zelfde meldingen. Ik weet niet wat diegene doet maar hij denkt grappig te zijn of iets. En nee... aangifte of een "abuse team" gaat niet helpen want die ip adressen komen uit verschillende landen dus het kan mogelijk een botnet zijn. Om de seconden komen wel 10 verschillende ip adressen. Dit zijn de meldingen:
(Datum) (tijd) **fragmention flood** (ip adres uit ander land) ,(poort) ->> mijn ip adres, poort
En dit gebeurd elke seconde en elke seconde komen 10 dezelfde ip adressen tegelijk. Je zou het dus ook makkelijk een firewall op kunnen zetten maar ik snap daar niks van.
Misschien toch maar van provider overstappen? We zijn al ongeveer 12 jaar bij Telfort en dit is nog nooit eerder voorgekomen. Maar als het er op aan komt is het een gezeik en Telfort vertikt het mijn ip adres te veranderen volgensmij.
"Een nieuwe provider / ip adres heeft geen zin" toch wel.. want dan krijg ik geen attacks meer binnen. "En als ze weer achter je ip adres komen?" Dat komen ze niet ;) . Maar het gaat er nu in iedergeval om dat ik een nieuw adres nodig heb en dan is de aanval voorbij.
^ ik dacht ik beantwoord even de standaard reacties van mensen die ik op andere topics heb gelezen.

Maar ik wil dus even voor de zekerheid weten of ip veranderen echt geen optie is bij Telfort? Zo niet? Dan stap ik over. Dan heb ik tenminste wel een nieuw ip adres.
icon

Beste antwoord door Stephen - Telfort 22 mei 2017, 17:15

Beste ExperiaBox, ik heb van mijn collega begrepen dat je telefonisch hebt aangegeven dat de lijn weer stabiel is.
Zodra je weer ergens tegenaan loopt dan zie ik graag een nieuw topic van jou tegemoet.

Op deze plaats ik een slotje.

Bekijk reactie
Op dit topic kun je niet reageren. Wil je iets toevoegen, start dan een nieuw topic.

39 Reacties

Babylonia
Reputatie 5
Willekeurig wat "bezoekers" die IP-adressen afstruinen en aan "poorten rammelen" of ze toegang kunnen krijgen, daar heeft iedereen wel mee te maken. Is doorgaans te overzien.

Een overdaad van bezoeken, als aanval, en dat telkens vanuit hetzelfde IP-adres, komt echter niet zomaar.
Het is eerst zaak de aanleiding weg te halen waarom je door zoveel IP-adressen wordt bestookt, die kennelijk bij je willen binnenkomen. Dat is waarschijnlijk ergens een virus en adware in je eigen PC's of anderszins wat je aan het internet hebt hangen. Waarbij vanuit je eigen systeem eerst pakketjes naar buiten worden gezonden die verbinding leggen met de afzender van zo'n virus. Die probeert dan vervolgens bij je binnen te komen.

Overstap naar een andere provider of gebruik van ander IP-adres heeft niet zoveel zin, als je je eigen systeem niet goed op orde hebt. Binnen de kortste keren wordt je dan weer opnieuw bestookt.

Niet goed gecontroleerde download van torrents e.d. zou bijv de oorzaak kunnen zijn. (Daar zit veel rotzooi tussen). Loop je eigen activiteiten na, en schoon je eigen systeem op !!!
Teejoow
Reputatie 1
Ik kan me goed vinden in wat Babylonia stelt. De firewalls van consumenten routers zijn doorgaans weinig sophisticated en de V8 firewall heb ik zelf ook wel eens dergelijke meldingen zien geven. Daarvoor had ik een oude Sitecom broadband router die ook graag interessant deed met allerhande serieus aandoende meldingen.

Als er verder weinig aan de hand lijkt (ik denk hier aan onverwacht gedrag van je PC, slecht of geen internet) zou ik dit soort meldingen gewoon negeren. Mijn Fritz laat dit soort meldingen niet eens zien aan de gebruiker en dat vind ik een goede zaak. Zonder verdere context en kennis van zaken kan je hier alleen maar overhaaste conclusies uit trekken.

Of je dit soort dingen ook gaat zien als een van je PC's in het interne netwerk geïnfecteerd met malware kan ik niet beoordelen maar het is zeker niet uit te sluiten. Een goede virusscanner hoeft niet veel te kosten.
Babylonia
Reputatie 5
Teejoow schreef:

Als er verder weinig aan de hand lijkt (ik denk hier aan onverwacht gedrag van je PC, slecht of geen internet) zou ik dit soort meldingen gewoon negeren.


Heb je de strekking van mijn eerdere reactie niet begrepen. Zoals gesteld zou de topic starter juist zijn eigen systemen heel goed moeten nalopen en de oorzaak weg moeten nemen waarom juist hij die enorme overdaad van ongewenste aandacht naar zich toe trekt vanuit onbekende IP-adressen die bij hem een connectie willen leggen.

Willekeurig van die medlingen komen bij mezelf slechts enkele malen per dag voor, van wisselende IP's. Bij elkaar op één hand te tellen. Dat is te overzien (en te negeren).

Niet hele reeksen van 10 IP-adressen elke seconde opnieuw zoals bij de topic starter !!
Teejoow
Reputatie 1
Excuus. Ik zal het niet weer doen :)

Rectificatie: ik sluit me volledig aan bij Babylonia. Intern zaakjes goed op orde hebben en dan ben je vanzelf niet (meer) interessant.
ExperiaBoxV8
Babylonia schreef:

Teejoow schreef:

Als er verder weinig aan de hand lijkt (ik denk hier aan onverwacht gedrag van je PC, slecht of geen internet) zou ik dit soort meldingen gewoon negeren.


Heb je de strekking van mijn eerdere reactie niet begrepen. Zoals gesteld zou de topic starter juist zijn eigen systemen heel goed moeten nalopen en de oorzaak weg moeten nemen waarom juist hij die enorme overdaad van ongewenste aandacht naar zich toe trekt vanuit onbekende IP-adressen die bij hem een connectie willen leggen.

Willekeurig van die medlingen komen bij mezelf slechts enkele malen per dag voor, van wisselende IP's. Bij elkaar op één hand te tellen. Dat is te overzien (en te negeren).

Niet hele reeksen van 10 IP-adressen elke seconde opnieuw zoals bij de topic starter !!


Waarom zouden tientallen netwerken uit India, Brazilië en nog meer andere landen met mijn netwerk "zomaar" willen aansluiten? Ik weet zeker dat het probleem nieu bij mij ligt.. dit is nog nooit eerder voorgekomen
Franzki
Reputatie 5
Badge +3
ExperiaBoxV8 schreef:

Waarom zouden tientallen netwerken uit India, Brazilië en nog meer andere landen met mijn netwerk "zomaar" willen aansluiten?



Het is gebruikelijk dat complete reeksen IP-adressen met enige regelmaat gescand worden. En dat kan geen kwaad zolang jij alles netjes hebt dichtgezet.

Het kan zijn dat je het modem voor bepaalde diensten open hebt staan... bijvoorbeeld een beveiligingscamera, NAS of server. En dan wordt je stukken interessanter voor hackers. Want dan gaan ze op zoek naar zwakheden in de beveiliging van deze apparatuur.

Verder gebeurt het wel eens dat gamers hun concurrenten proberen dwars te zitten met een DDoS aanval. Ook daar kan Telfort weinig aan doen.

PS:
Gebruik je P2P software, bijvoorbeeld een Torrent client?
ExperiaBoxV8
Ik weet geeneens wat een P2P is of een torrent client, dus denk het niet
Babylonia
Reputatie 5
Maar misschien ben je wel een gamer met een Play Station, of XBox ??
Verder kunnen virussen en adware op allerlei andere manieren worden binnengehaald, wat de aanleding is waarom je nu van buitenaf zo overweldigend wordt belaagd?

Zoals eerder aangehaald: Loop je eigen activiteiten na, en schoon je eigen systeem op !!!
ExperiaBoxV8
Babylonia schreef:

Maar misschien ben je wel een gamer met een Play Station, of XBox ??
Verder kunnen virussen en adware op allerlei andere manieren worden binnengehaald, wat de aanleding is waarom je nu van buitenaf zo overweldigend wordt belaagd?

Zoals eerder aangehaald: Loop je eigen activiteiten na, en schoon je eigen systeem op !!!


Het ligt niet aan mijn systeem hoor ben op een andere computer gegaan en zelfs het oude modem aangesloten (in de hoop een nieuw ip adres te hebben) maar het werkt nog steeds niet. Fijn dat je dingen verteld maar jammer dat het niet word uitgelegd hoe ik iets moet doen.. het gewoon niet duidelijk
ExperiaBoxV8
Het zou niet zo een groot probleem zijn als de firewall van de experia box V8 niet zo ingewikkeld is. Aangezien toch steeds de zelfde connecties zijn. Als iemand verstand heeft van die firewall. Dat zou goed van pas komen.
Franzki
Reputatie 5
Badge +3
Ik denk dat je een stapje terug moet... namelijk aangeven wat nu het echte probleem is. Je roept iets over een DDoS aanval maar het is maar de vraag of dat klopt. Het kan ook zijn dat je bepaalde toepassingen gebruikt waarvan het verkeer vastloopt omdat je niet de juiste poorten in het modem hebt opengezet.

Plaats eens een stuk van je logfile.

En geef eens aan wat voor apparatuur je op je thuisnetwerk hebt aangesloten en wat voor applicaties je gebruikt.
ExperiaBoxV8
Een stukje plaatsen van mijn logfile gaat moeilijk zonder internet dus ik moet het overtypen:
04/30/2017 13:51:02 **fragmentation flood** 168.103.176.238, 55925 ->> (mijn ip), 80 (From ATM1 Inbound)

04/30/2017 13:51:02 **fragmentation flood** 177.103.176.238, 61784 ->> (mijn ip), 80 (From ATM1 Inbound)

Ik ga niet 1 hele seconde over typen want per seconde komen 10 verschillende adressen met verschillende poorten binnen... ook vind ik het raar dat er veel poorten open staan bij NAT Mapping Table.. maar ik kan ze zelf niet "sluiten / weghalen" toevallig zijn dit ook alle poorten doe gebruikt worden door die ip adressen.
ExperiaBoxV8
Enigste apparatuur die ik trouwens gebruik is een computer, telefoon en TV. De TV doet het perfect maar de computer en telefoon niet. Soms wat gekraak bij de tv maar voor de rest perfect.
Franzki
Reputatie 5
Badge +3
ExperiaBoxV8 schreef:

04/30/2017 13:51:02 **fragmentation flood** 168.103.176.238, 55925 ->> (mijn ip), 80 (From ATM1 Inbound)


Het lijkt alsof er heel veel mensen proberen een webserver (poort 80) proberen te bereiken op jouw ip-adres.

ExperiaBoxV8 schreef:

ook vind ik het raar dat er veel poorten open staan bij NAT Mapping Table.. [..] toevallig zijn dit ook alle poorten doe gebruikt worden door die ip adressen.


Dan lijkt het erop dat jij op je computer iets hebt draaien dat contact maakt met die adressen. In de NAT-tabel staan alleen verbindingen die vanaf je computer (of ander apparaat op je thuisnetwerk) worden opgezet. En daardoor krijg je uiteindelijk al die meldingen in je modem.

Heb je alles gecheckt op virussen en malware? Heb je geen beveiligingscamera of NAS op je thuisnetwerk?
ExperiaBoxV8
Franzki schreef:

ExperiaBoxV8 schreef:

04/30/2017 13:51:02 **fragmentation flood** 168.103.176.238, 55925 ->> (mijn ip), 80 (From ATM1 Inbound)


Het lijkt alsof er heel veel mensen proberen een webserver (poort 80) proberen te bereiken op jouw ip-adres.

ExperiaBoxV8 schreef:

ook vind ik het raar dat er veel poorten open staan bij NAT Mapping Table.. [..] toevallig zijn dit ook alle poorten doe gebruikt worden door die ip adressen.


Dan lijkt het erop dat jij op je computer iets hebt draaien dat contact maakt met die adressen. In de NAT-tabel staan alleen verbindingen die vanaf je computer (of ander apparaat op je thuisnetwerk) worden opgezet. En daardoor krijg je uiteindelijk al die meldingen in je modem.

Heb je alles gecheckt op virussen en malware? Heb je geen beveiligingscamera of NAS op je thuisnetwerk?


Is het een optie mijn computer te resetten? Aangezien ik heb gescant en hij maar een mogelijk onbetrouwbaar bestand heeft gevonden en die heb ik direct verwijderd..
Franzki
Reputatie 5
Badge +3
Als er een probleem is met je computer, dan kan het inderdaad helpen om de computer opnieuw te installeren of terug te zetten naar de fabrieksinstellingen. En daarna natuurlijk netjes alle updates en een virusscanner installeren.

Maar zolang niet duidelijk is wat het probleem is, is het misschien zonde van je tijd.

Kun je niet ergens een computer lenen waarvan je zeker weet dat er geen problemen mee zijn? En die dan een tijdje gebruiken in plaats van je eigen computer? Als de problemen dan weg zijn, dan is de kans groot dat het inderdaad aan je computer ligt.
Babylonia
Reputatie 5
Aanvullend:
Kijk ook eens of er geen onbekende apparaten in je netwerk zitten. Het zou kunnen voorkomen dat er onbewust een buur meelift via WiFi die toevallig je WiFi inloggegevens kent?
Handig hulpmiddeltje voor op je telefoon: < FING >

Als er nog steeds per seconde vele onbkende IP-adressen in je log-file van de Experia-box verschijnen. Wel rigoreus, maar het helpt wel. Koppel de modem/router eens een aantal dagen volledig los van het internet. Een weekje geen connectie is er ook geen respons naar die adressen, en stoppen die aanvallen doorgaans ook.

Reset van de modem/router zodat eventuele vreemde port forarders of andere onbetrouwbare instellingen, worden opgeheven.

Verder een paar handige instellingen (na de reset):
https://forum.telfort.nl/internet-267/wie-vertellen-wat-icmp-inhoudt-deze-melding-nooit-tegengekomen-54510#post477241

Om open (en gesloten) poorten te testen:
https://www.grc.com/x/ne.dll?bh0bkyd2
Franzki
Reputatie 5
Badge +3
Babylonia schreef:

Reset van de modem/router zodat eventuele vreemde port forarders of andere onbetrouwbare instellingen, worden opgeheven.


Op dit moment lijkt het alsof het verkeer van binnen geïnitieerd wordt... de IP-adressen staan in de NAT-tabel. Dan heeft het niet veel zin om het modem te resetten of een week uit te zetten. Want zodra het modem weer wordt aangezet, is het probleem terug.

De echte oplossing is de oorzaak van het verkeer aanpakken op je thuisnetwerk... dus inderdaad de computer goed scannen en het netwerk onderzoeken op apparaten die meeliften.
ExperiaBoxV8
Babylonia schreef:

Aanvullend:
Kijk ook eens of er geen onbekende apparaten in je netwerk zitten. Het zou kunnen voorkomen dat er onbewust een buur meelift via WiFi die toevallig je WiFi inloggegevens kent?
Handig hulpmiddeltje voor op je telefoon: < FING >

Als er nog steeds per seconde vele onbkende IP-adressen in je log-file van de Experia-box verschijnen. Wel rigoreus, maar het helpt wel. Koppel de modem/router eens een aantal dagen volledig los van het internet. Een weekje geen connectie is er ook geen respons naar die adressen, en stoppen die aanvallen doorgaans ook.

Reset van de modem/router zodat eventuele vreemde port forarders of andere onbetrouwbare instellingen, worden opgeheven.

Verder een paar handige instellingen (na de reset):
https://forum.telfort.nl/internet-267/wie-vertellen-wat-icmp-inhoudt-deze-melding-nooit-tegengekomen-54510#post477241

Om open (en gesloten) poorten te testen:
https://www.grc.com/x/ne.dll?bh0bkyd2


Ik heb gezocht naar het woordje "ping" in de help.stm van mijn experia box. Hier staat iets met: Ping-Fragment-Flood. Misscchien zou dat het kunnen zijn? Maar ik kan nergens een ICMP optie vinden in mijn modem..
ExperiaBoxV8
Ik kom er nu achter dat de functie DMZ niet aan stond..
ExperiaBoxV8
Maakt dat wat uit?
Franzki
Reputatie 5
Badge +3
Het gaat niet om 'pIng' maar 'Fing', dat is een app voor het geval je een android smartphone hebt. Daarmee kun je zien of er vreemde apparaten op je netwerk zitten.

Verder zou je het modem een reset naar de fabriekinstellingen kunnen geven. dan weet je zeker dat alles weer goed staat.

Maar misschien is het een idee om de hulp in te schakelen van een handige buurman of familielid?
ExperiaBoxV8
Franzki schreef:

Het gaat niet om 'pIng' maar 'Fing', dat is een app voor het geval je een android smartphone hebt. Daarmee kun je zien of er vreemde apparaten op je netwerk zitten


Ik heb het over Ping.. en niet over die app. Er staat iets over Ping-fragment-flood. Ik heb nu last van fragmentation flood en babylonia zegt in de volgende link: https://forum.telfort.nl/internet-267/wie-vertellen-wat-icmp-inhoudt-deze-melding-nooit-tegengekomen-54510#post477241
Dat je hebt uit kan zetten dat mensen je kunnen pingen.
ExperiaBoxV8
Misschien reageert mijn modem gewoon telkens op pings?
Babylonia
Reputatie 5
Franzki schreef:

Babylonia schreef:

Reset van de modem/router zodat eventuele vreemde port forarders of andere onbetrouwbare instellingen, worden opgeheven.


De echte oplossing is de oorzaak van het verkeer aanpakken op je thuisnetwerk... dus inderdaad de computer goed scannen en het netwerk onderzoeken op apparaten die meeliften.


Vandaar dat ik in mijn bericht begon met: Aanvullend......
Aanvullend dus op jou bericht met zaken die jezelf al had voorgesteld om een PC te ontdoen van virussen en adware. Die doe je dus eerst. (Die opties hoef ik niet nog eens te herhalen). ;)