[gelöst]Netzwerkattacke oder FritzBox defekt?

Alles rund um sicherheitsrelevante Fragen und Probleme.
mat6937
Beiträge: 1020
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 09.08.2018 22:14:39

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:10:56
ICh hab gestern noch mit einer Mitarbeiterin gesprochen, die mich fälschlicherweise ( weil ich ja eine neue FB vom Techniker bekommen hatte )
fragte ob ich ihr die Seriennummer und MAC meiner FB durchgeben möchte um diese zu registrieren.
Da habe ich noch mit ihr über das Thema gesprochen..
Naja, Du hast doch selber geschrieben, welche Kenntnisse im 1. level support vorhanden sind.

Warum telefonierst Du nicht mit dem Business-Service, wenn Du einen Business-Tarif hast?

Benutzeravatar
Rubberduck
Beiträge: 172
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 09.08.2018 22:15:38

mat6937 hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:14:39
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:10:56
ICh hab gestern noch mit einer Mitarbeiterin gesprochen, die mich fälschlicherweise ( weil ich ja eine neue FB vom Techniker bekommen hatte )
fragte ob ich ihr die Seriennummer und MAC meiner FB durchgeben möchte um diese zu registrieren.
Da habe ich noch mit ihr über das Thema gesprochen..
Naja, Du hast doch selber geschrieben, welche Kenntnisse im 1. level support vorhanden sind.

Warum telefonierst Du nicht mit dem Business-Service, wenn Du einen Business-Tarif hast?
Mache ich doch immer.
Die die da dran gehen, bezeichne ich als First-Level, sind ja eh immer nur am weiterverbinden..

mat6937
Beiträge: 1020
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 09.08.2018 22:19:01

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:10:56
Da habe ich noch mit ihr über das Thema gesprochen..

Sollte ich mich hier so vertun..?
Du könntest Recht evtl. haben, wenn man einen Business-Tarif ohne (zusätzliche) statische öffentliche IPv4-Adresse(n) hat.

EDIT:

Ein weiterer Test den Du bei aktiviertem Forwarding (Port 443), mit deiner FritzBox machen könntest, ist IPv6 mit 6to4 zu aktivieren und damit den Internetzugang mit IPv6 zu testen. Denn dann hast Du ein anderes gateway (192.88.99.1 bzw. 2002:c058:6301::1 in v6-Schreibweise) ins Internet. Ob das dann auch "blockiert" wird?

Code: Alles auswählen

mtr -6nr -c 2 -i 2 heise.de
ping6 -c 9 2a02:2e0:3fe:1001:302::
Dafür wird aber ein IPv6-fähiges Endgerät benötigt.

Benutzeravatar
Rubberduck
Beiträge: 172
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 09.08.2018 23:32:50

mat6937 hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:19:01
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:10:56
Da habe ich noch mit ihr über das Thema gesprochen..

Sollte ich mich hier so vertun..?
Du könntest Recht evtl. haben, wenn man einen Business-Tarif ohne (zusätzliche) statische öffentliche IPv4-Adresse(n) hat.

EDIT:

Ein weiterer Test den Du bei aktiviertem Forwarding (Port 443), mit deiner FritzBox machen könntest, ist IPv6 mit 6to4 zu aktivieren und damit den Internetzugang mit IPv6 zu testen. Denn dann hast Du ein anderes gateway (192.88.99.1 bzw. 2002:c058:6301::1 in v6-Schreibweise) ins Internet. Ob das dann auch "blockiert" wird?

Code: Alles auswählen

mtr -6nr -c 2 -i 2 heise.de
ping6 -c 9 2a02:2e0:3fe:1001:302::
Dafür wird aber ein IPv6-fähiges Endgerät benötigt.
:=) du gibst echt nicht auf - vielen Dank.
Ich habe das jetzt aber erstmal auf deinen Rat hin in dem inoffiziellen UnityMedia Forum gepostet und eventuell hat da einer eine Idee, leuchtende Erscheinung oder sonstigen Geistesblitz

https://www.unitymediaforum.de/viewtopi ... 90&t=37238

Ich bin grad etwas erschöpft, was das Thema betrifft, die Rückmeldung von AVM steht ja auch noch aus.
Heut mach ich nichts mehr, werde aber weiter berichten. Danke bis hierher für euer Engagement.

Benutzeravatar
Rubberduck
Beiträge: 172
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 10.08.2018 15:02:07

Hallo Zusammen.

Das Problem ist gelöst - Heureka.
Nicht ganz so wie ich gedacht, aber doch befürchtet hatte.
Kurz vorab noch eine kleine Erklärung: ( jetzt kommen die echten Infos hrhrhr, nein hatte ich nicht mehr dran gedacht.)

Ich bin heute nochmal in mich gegangen und hab alles nochmal durchdacht, was eventuell 'aus dem Internet' kommen könnte und obwohl ich
einen Angriff auch nach wie vor für sehr unwahrscheinlich halte( hielt ) fiel mir ein...

Ich sagte ja, dass ich über DynDNS arbeite, da keine feste IP Adresse.
deswegen habe ich folgende Konstellation.

Code: Alles auswählen

<mydomain.de>  bei DomainFactory
<https://cloud.mydomain.de> --> Weiterleitung --> >cloud.dyndns.org> --> Weiterleitung --> IP Adresse meiner FritzBox
Ich konnte es mir zwar nicht vorstellen, aber ich habe einfach mal den Eintrag bei DynDNS gelöscht, nach ca 5 Minuten dauerping war der Eintrag tot und jetzt
funktioniert alles wieder wie vorher.
Habe ich jetzt auch zig mal mit Physik und VMs getestet.

puhhhhh ( wehe einer sagt jetzt wieder 'das war absehbar' :=)

------------------------------------------------------------------------

Folgende Fragen dazu:

Ist die Konstellation grundsätzlich Käse?
Wie habt ihr sowas, das ist ja jetzt nichts atemberaubendes?
War das jetzt doch ein Angriff oder hat DynDNS ein Problem?
Ich meine, den Link mit der Adresse von Dyn-DNS habe ich natürlich sehr oft auf Grund von OwnCloud in der Gegend umgeschickt.
Das wäre ja ein Leichtes den zu kopieren und zu bombardieren, oder total abwegig?

Ich würde hier echt gern eure Meinung zu hören und nehme Ratschläge gern an, denn das kann doch jederzeit wieder passieren.

Grüße und Danke für jede Mithilfe.

mat6937
Beiträge: 1020
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 10.08.2018 15:12:43

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:02:07
Ich sagte ja, dass ich über DynDNS arbeite, da keine feste IP Adresse.
deswegen habe ich folgende Konstellation.

Code: Alles auswählen

<mydomain.de>  bei DomainFactory
<https://cloud.mydomain.de> --> Weiterleitung --> >cloud.dyndns.org> --> Weiterleitung --> IP Adresse meiner FritzBox
Ich habe das so verstanden, dass Du den ddns-Client deiner FritzBox benutzt.
Was Du hier wie und warum weiterleitest bzw. umleitest verstehe ich nicht.

Benutzeravatar
Rubberduck
Beiträge: 172
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 10.08.2018 15:17:01

mat6937 hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:12:43
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:02:07
Ich sagte ja, dass ich über DynDNS arbeite, da keine feste IP Adresse.
deswegen habe ich folgende Konstellation.

Code: Alles auswählen

<mydomain.de>  bei DomainFactory
<https://cloud.mydomain.de> --> Weiterleitung --> >cloud.dyndns.org> --> Weiterleitung --> IP Adresse meiner FritzBox
Ich habe das so verstanden, dass Du den ddns-Client deiner FritzBox benutzt.
Was Du hier wie und warum weiterleitest bzw. umleitest verstehe ich nicht.
Naja, ich habe eine eigene Domain, dafür eine Subdomain für meinen Cloud Kram...irgendwie muss ich diese Subdomain ja an meine FritzBox weiterleiten.
Meines Erachtens nach, geht das nur mit einem Dienst wie DynDNS, denn dessen Credentials kann ich ja zum Abgleich in der FritzBox eintragen.
Ich denke genauso wie das mit MyFritz neuerdings auch geht.

Aber wie gesagt, sag mir ruhig wenn das mist ist.
Aber was hälst du denn jetzt davon? Angriff?

mat6937
Beiträge: 1020
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 10.08.2018 15:23:55

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:17:01
Aber wie gesagt, sag mir ruhig wenn das mist ist.
Aber was hälst du denn jetzt davon? Angriff?
Ich denke nicht, dass es ein Angriff ist, denn der wäre dann immer bzw. auch ohne die Portweiterleitung da.
Und welcher Zusammenhang sollte da mit der alten Konfig sein?

Evtl. liegt es am reverse-DNS für deiner externe/öffentliche IPv4-Adresse, der mit deiner Konstellation problematisch sein könnte und bei einer Portweiterleitung, vom Provider "geprüft" wird.

Benutzeravatar
Rubberduck
Beiträge: 172
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 10.08.2018 15:27:58

mat6937 hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:23:55
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:17:01
Aber wie gesagt, sag mir ruhig wenn das mist ist.
Aber was hälst du denn jetzt davon? Angriff?
Ich denke nicht, dass es ein Angriff ist, denn der wäre dann immer bzw. auch ohne die Portweiterleitung da.
Und welcher Zusammenhang sollte da mit der alten Konfig sein?

Evtl. liegt es am reverse-DNS für deiner externe/öffentliche IPv4-Adresse, der mit deiner Konstellation problematisch sein könnte und bei einer Portweiterleitung, vom Provider "geprüft" wird.
Aber so abwegig ist das doch garnicht, den Namen kann doch ein Bot bombardieren. Jetzt ist der Name weg und es funktioniert nicht mehr.
Die Konstellation habe ich schon über zwei Jahre nicht mehr angefasst...
Und meine öffentliche IP ändert sich ja. deswegen ja DynDNS sonst könnte ich mir das doch sparen.
Oder Denkfehler?

mat6937
Beiträge: 1020
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 10.08.2018 15:44:10

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:27:58
Aber so abwegig ist das doch garnicht, den Namen kann doch ein Bot bombardieren.
Warum soll ein Bot den Namen nur dann bombardieren, wenn in deiner FritzBox genau der Port 443 weitergeleitet ist und der entsprechende Client auch mit deiner FritzBox verbunden ist und auch nur dann wenn die alte Konfig (der FB) verwendet wird?

Wie ist mit und ohne deine Konstellation, die Ausgabe von:

Code: Alles auswählen

dig -x <externe-IPv4-Adresse> +short
dig -x <externe-IPv4-Adresse> +short @1.1.1.1
?

Benutzeravatar
Rubberduck
Beiträge: 172
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 10.08.2018 15:48:57

Das ist jetzt aber von dir falsch gedacht, oder?

Das bombardieren würde natürlich die ganze Zeit passieren, das ist doch super easy zu machen, eben wie ein Dauerping ( mit 5.000 Bots ) auf den DynDNSnamen und fertig.
Der zeigt immer auf meine Fritzbox und in dem Moment, wo ich den weiterleite, kommt die nicht mehr hinterher mit vermitteln und stirbt. Wenn die nicht weiterleitet, weist sie ab.
So funktioniert doch sowas.

EDIT: das mit der alten Konfig ist ein gutes Argument dagegen, aber trotzdem...

mat6937
Beiträge: 1020
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 10.08.2018 15:56:30

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:48:57
Das bombardieren würde natürlich die ganze Zeit passieren, das ist doch super easy zu machen, eben wie ein Dauerping ( mit 5.000 Bots ) auf den DynDNSnamen und fertig.
Der zeigt immer auf meine Fritzbox und in dem Moment, wo ich den weiterleite, kommt die nicht mehr hinterher mit vermitteln und stirbt. Wenn die nicht weiterleitet, weist sie ab.
So funktioniert doch sowas.
Du hast doch auf der Maschine auf die weitergeleitet worden ist, mit:

Code: Alles auswählen

tcpdump -c 400 -vvveni any port 443
festgestellt, dass aus dem Internet nichts verdächtiges bzw. keine Daueranfragen kommen? Oder?

Benutzeravatar
Rubberduck
Beiträge: 172
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 10.08.2018 15:58:03

mat6937 hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:56:30
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:48:57
Das bombardieren würde natürlich die ganze Zeit passieren, das ist doch super easy zu machen, eben wie ein Dauerping ( mit 5.000 Bots ) auf den DynDNSnamen und fertig.
Der zeigt immer auf meine Fritzbox und in dem Moment, wo ich den weiterleite, kommt die nicht mehr hinterher mit vermitteln und stirbt. Wenn die nicht weiterleitet, weist sie ab.
So funktioniert doch sowas.
Du hast doch auf der Maschine auf die weitergeleitet worden ist, mit:

Code: Alles auswählen

tcpdump -c 400 -vvveni any port 443
festgestellt, dass aus dem Internet nichts verdächtiges bzw. keine Daueranfragen kommen? Oder?
Ja kann doch auch nicht, wenn die FB nicht weiterleitet und wenn sie es tut, stirbt sie.
Also ich WILL das nicht, dass das so ist, aber gerade scheint es mir das logischste.

Ich lasse gerade durch DomainFactory prüfen ob es ungewöhnlich viele Zugriffe auf meine subdomain gab..
Mal sehen...

mat6937
Beiträge: 1020
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 10.08.2018 16:04:55

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:58:03
Ja kann doch auch nicht, wenn die FB nicht weiterleitet und wenn sie es tut, stirbt sie.
Wenn sie stirbt, dann stirbt sie aber keinesfalls sofort. Einige Datenpakete kommen immer durch.

Es sei denn, Du hast den Test mit tcpdump nicht richtig angewendet.


EDIT:

... und wenn sie nicht weiterleitet dann ist es ja auch nicht so, dass sie die Anfragen (egal auf welchen Port der nicht weitergeleitet ist) ignoriert. Sie antwortet (je nach Art der Anfrage) dann mit icmp:

Code: Alles auswählen

78.##.###.### > 192.168.178.22: ICMP host 78.##.###.### unreachable - admin prohibited filter, length 36
	(tos 0x0, ttl 45, id 53386, offset 0, flags [none], proto TCP (6), length 44)
    192.168.178.22.45687 > 78.##.###.###.443: [|tcp]

Benutzeravatar
Rubberduck
Beiträge: 172
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 11:06:20

Guten Morgen,

ich bekomm die Pimpernellen...

Mittlerweile bin ich RIP Kunde bei UM und hab ne feste IP Adresse, so dass ich mir den Umweg über dynDNS sparen kann.

Ich habe mir gestern A Records erstellt:

cloud.mydomain.de > meine neue UM IP Adresse
web.mydomain.de > meine neue UM IP Adresse

Ich habe gestern wieder meinen ganzen Docker Kram eingerichtet und meine Webseite ( web.mydomain.de ) und OwnCloud (cloud.mydomain.de) wieder in Betrieb genommen.

Seite gestern Abend ca 16:00 Uhr funktionierte das auch wunderbar, hab mich gefreut wie ein Schneekönig, dass alles wieder in Ordnung ist.

Seit ca. 10:35 Uhr heute morgen wieder das alte Phänomen.

Freundin sagte mir "Internet, geht wieder nicht...?" ..dunkle Vorahnung

Schneller Test, Server ausschalten auf den die Weiterleitung zeigt. Problem behoben ;=(
Portforwarding deaktiviert, Server hochgefahren, kein Problem.
Forwarding aktiviert, wieder das Problem...liegt also definitiv an der Weiterleitung..

Hab das auch wieder auf eine VM weitergeleitet, das selbe...
Es hat also was mit meiner Domain-Weiterleitung auf meine FB zu tun...was anderes kann es doch einfach nicht sein oder?
Und dann auch erst nach einiger Zeit....

Ich geb mir echt langsam die Kugel.

mat, noch ne Idee was ich machen könnte?

Antworten