Netzwerkattacke oder FritzBox defekt?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 07.08.2018 23:22:15

Hallo,

seit drei Tagen habe ich zu Hause ein seltsames Phänomen.

Immer wenn ich den Port 443 auf meiner Fritzbox auf eine interne IP weiterleite, ist nach ca 10 Sekunden mein WAN weg.
Fritzbox ist dann meist nicht mehr zu erreichen.

Beende ich bspw. die virtuelle Maschine auf die meine weitergeleitete Adresse zeigt, reaktiviert sich alles wieder.
Muss ich davon ausgehen, dass mich jemand/etwas angreift oder kann meine Fritzbox einen 'Hau' haben:

Ich frag in Richtung Fritzbox weil ich mir die Alternative kaum vorstellen kann und falls das wirklich ein Angriff sein sollte, wie sollte ich das lösen können?
Was würdet ihr tun um das zu prüfen?

Vielen Dank für eure Unterstützung.
Zuletzt geändert von Rubberduck am 24.08.2018 09:46:30, insgesamt 2-mal geändert.

mat6937
Beiträge: 1364
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 07.08.2018 23:54:13

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
07.08.2018 23:22:15

Fritzbox ist dann meist nicht mehr zu erreichen.
Von wo ist die FritzBox meist nicht zu erreichen, aus dem Internet oder aus dem (W)LAN?

Hast Du in deiner FritzBox den Fernzugriff (zur FritzBox) aus dem Internet, aktiviert? Wenn ja, auf welchem Port?

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 08.08.2018 00:00:02

Aus dem internen Netz ist die FB nicht mehr zu erreichen, oder nur sehr schlecht.
Es ist so als wäre sie zu dem Zeitpunkt überlastet.

Mir fliegt sozusagen einfach das Gateway weg.
Alle anderen Geräte haben dann natürlich auch keinen Zugriff mehr ins Internet.

Fernzugriff ist aus.
Zugriff nach Hause ( Webseite, Owncloud usw ) läuft über einen dynamischen DNS Eintrag und landet auf meinem Docker-Host.
Ist aber gerade alles aus. Wollte das Problem ja analysieren und nachstellen können.

FB habe ich auch schon zurückgesetzt. Die macht gerade gar nichts. Selbst IP Adressen vergibt mein Server intern.

Ich habe also zum Nachstellen des Problems nur eine 443 Weiterleitung auf eine IP einer virtuellen Maschine in meinem Heimnetz erstellt.
Jedesmal wenn ich diese Freigabe aktiviere und die Maschińe dahinter ist online, geht der Zauber los...bzw. aus.
Beende ich die Maschine oder deaktiviere die Weiterleitung ( wenn ich es rechtzeitig schaffe das über die FB zu machen) dann ist nach 30 Sekunden alles wieder normal.

mat6937
Beiträge: 1364
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 08.08.2018 00:10:23

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
08.08.2018 00:00:02
Jedesmal wenn ich diese Freigabe aktiviere und die Maschińe dahinter ist online, geht der Zauber los...bzw. aus.
Ist die Maschine dahinter nur online oder lauscht auf dieser Maschine auch ein Dienst/daemon auf dem Port 443? Wenn ja, welcher Dienst/daemon?

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 08.08.2018 00:12:20

Da lauscht nix.

Ich kann die IP auf jede Maschine bei mir zeigen lassen ( Server, Hauptrechner, Notebook, VM), ist immer das gleiche Ergebnis.
Muss nur Online sein, die Maschine.

mat6937
Beiträge: 1364
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 08.08.2018 00:17:16

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
08.08.2018 00:12:20
Da lauscht nix.
OK, dann schau dir mal den Eingangstraffic zu diesem Port 443 an:

Code: Alles auswählen

tcpdump -c 100 -vvveni any port 443

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 08.08.2018 00:20:28

Hab es gerade nochmal genau nachgestellt.

Scheint auch wirklich nur auf Port 443 so zu sein.
Weiterleitung von 80, oder 22 auf die Maschine macht garnichts.
Aktiviere ich 443 steht alles still was ins Internet will. Aber vor allem - sofort- instant.

Irgendwie komisch. Ich hatte das zwar noch nie, aber ich würde doch denken, das bei einer Attacke, das ein paar Minuten dauert, bis die FB es nicht mehr schafft zu antworten und folgedessen nicht mehr erreichbar ist.
Ich kenne mich da aber auch nicht aus und habe hier leider keine Fortinet oder Fortianalyzer am start hehe..

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 08.08.2018 00:21:47

Ok, du meinst also ich soll das auf der Maschine ausführen, auf die ich die Weiterleitung eingerichtet habe ja.
mal sehen.
teste ich sofort.

mat6937
Beiträge: 1364
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 08.08.2018 00:25:52

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
08.08.2018 00:21:47
Ok, du meinst also ich soll das auf der Maschine ausführen, auf die ich die Weiterleitung eingerichtet habe ja.
Ja, danach kannst Du auf dieser Maschine auch folgende iptables-Regeln setzen:

Code: Alles auswählen

iptables -t raw -I PREROUTING 1 -p tcp --dport 443 -j DROP
iptables -t raw -I PREROUTING 2 -p udp --dport 443 -j DROP
Ich denke, dass deine FritzBox evtl. das Problem ist. Evtl. ist dort doch so etwas wie der Fernzugriff (oder gleichwertig) auf Port 443 aktiviert/konfiguriert. Wenn das der Fall ist, darf in der FritzBox, der Port 443 nicht weiter geleitet werden.

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 08.08.2018 00:32:28

hmm etwas verwirrend.
10.0.0.68 ist meine VM.

Also erst mal ein Ausschnitt aus dem tcpdump:

Code: Alles auswählen


 tcpdump -c 100 -vvveni any port 443
 
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
00:26:13.548318  In e0:28:6d:40:94:8b ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 9335, offset 0, flags [DF], proto TCP (6), length 60)
    176.198.40.58.39512 > 10.0.0.68.443: Flags [S], cksum 0xeb62 (correct), seq 2742930303, win 29200, options [mss 1460,sackOK,TS val 3826980892 ecr 0,nop,wscale 7], length 0
00:26:15.708104  In e0:28:6d:40:94:8b ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 9336, offset 0, flags [DF], proto TCP (6), length 60)

Seltsamerweise fliegt mein GW gerade nicht mehr weg.
Verstehe ich nicht.
Was sagt dir der Dump?

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 08.08.2018 00:37:23

Ich glaube nicht dass das der Fall ist. Zumindest nicht ohne das Die FB defekt wäre.
Normalerweise lässt die FB keine Weiterleitung auf 443 zu wenn der Fernzugang aktiviert ist.

Deswegen habe ich meinen Fernzugang immer über einen anderen Port angegeben.

Das mit der IPtables Regel muss ich mir noch überlegen. Später wird der Port wieder auf meinen Docker-Host zeigen um über 443 meine Webseite und OwnCloud anzubieten.
Da sind ja seitens Fail2ban und Docker ( leider ) eigene Regeln am Werk.

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 08.08.2018 00:45:54

Sag mal der tcpdump Befehl.
Zeigt der nur was an wenn was auf dem Port ankommt oder zeigt er womöglich immer was an?

Ich hab jetzt gerade mal mein Laptop gestartet und wollte damit testen,
starte den tcpdump Befehl und bekomm sofort durchgehend antworten, ähnlich wie oben,
OHNE eine Portweiterleitung auf das Laptop...

Bei meinem richtigen PC ist das auch der Fall

Code: Alles auswählen

 172.217.18.174.443 > 10.0.0.1.56864: Flags [.], cksum 0x33d6 (correct), seq 1, ack 1, win 329, options [nop,nop,TS val 870375641 ecr 238693175], length 0
00:46:55.339495 Out f4:6d:04:65:e7:bf ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 64, id 7223, offset 0, flags [DF], proto TCP (6), length 60)


mat6937
Beiträge: 1364
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 08.08.2018 09:16:45

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
08.08.2018 00:32:28

Code: Alles auswählen

00:26:13.548318  In e0:28:6d:40:94:8b ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 9335, offset 0, flags [DF], proto TCP (6), length 60)
    176.198.40.58.39512 > 10.0.0.68.443: Flags [S], cksum 0xeb62 (correct), seq 2742930303, win 29200, options [mss 1460,sackOK,TS val 3826980892 ecr 0,nop,wscale 7], length 0
00:26:15.708104  In e0:28:6d:40:94:8b ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 9336, offset 0, flags [DF], proto TCP (6), length 60)

Was sagt dir der Dump?
Der Dump zeigt, dass von der externen IP-Adresse 176.198.40.58 (unitymedia) auf den TCP-Port 443 (der weiter geleitet ist) deiner FritzBox, mit dem syn-Flag (1. Schritt im 3-Wege-Handschlag) zugegriffen worden ist. Man könnte den tcpdump-Filter jetzt so ändern, dass man sieht ob dein Gerät mit icmp-Nachricht darauf reagiert hat.

mat6937
Beiträge: 1364
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 08.08.2018 09:19:44

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
08.08.2018 00:45:54
Sag mal der tcpdump Befehl.
Zeigt der nur was an wenn was auf dem Port ankommt oder zeigt er womöglich immer was an?
Der tcpdump-Befehl zeigt nicht immer was an. Nur wenn was ankommt bzw. was vom source-Port 443 raus geht.
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
08.08.2018 00:45:54
Bei meinem richtigen PC ist das auch der Fall

Code: Alles auswählen

 172.217.18.174.443 > 10.0.0.1.56864: Flags [.], cksum 0x33d6 (correct), seq 1, ack 1, win 329, options [nop,nop,TS val 870375641 ecr 238693175], length 0
00:46:55.339495 Out f4:6d:04:65:e7:bf ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 64, id 7223, offset 0, flags [DF], proto TCP (6), length 60)

Da war von deinem PC eine Anfrage an google (IP 172.217.18.174 und der https-Port 443). tcpdump zeigt noch eine ack-Antwort vom google-Server.

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 08.08.2018 09:27:19

Ich hatte mir schon gedacht, dass der nicht immer was anzeigt. Deswegen war ich umso verwunderter, dass der direkt loslegt.
Aber jetzt muss ich erstmal ruhig werden und klar denken. Man neigt ja etwas dazu das Gras wachsen zu hören, wenn man mal alarmiert ist.

Für mich ist immer noch wichtig herauszufinden ob jetzt meine FB einen weg hat oder ich bombardiert werde. Wie gesagt, für den zweiten Fall kann ich mich nicht erwärmen, klingt mir unrealistisch, ausser es ist ein ZUfall.

Die sollen mir bei UnityMedia mal eine neue IP verpassen, mal sehen ob dass dann immer noch so ist. Derweil habe ich auch eine ErsatzFritzBox geliefert bekommen, die werde ich mal dranhängen und schauen ob das Problem dann auch noch besteht.
Viel mehr kann ich kaum machen oder was denkst du?

Antworten