Netzwerkattacke oder FritzBox defekt?

Alles rund um sicherheitsrelevante Fragen und Probleme.
mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 09.08.2018 22:14:39

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:10:56
ICh hab gestern noch mit einer Mitarbeiterin gesprochen, die mich fälschlicherweise ( weil ich ja eine neue FB vom Techniker bekommen hatte )
fragte ob ich ihr die Seriennummer und MAC meiner FB durchgeben möchte um diese zu registrieren.
Da habe ich noch mit ihr über das Thema gesprochen..
Naja, Du hast doch selber geschrieben, welche Kenntnisse im 1. level support vorhanden sind.

Warum telefonierst Du nicht mit dem Business-Service, wenn Du einen Business-Tarif hast?

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 09.08.2018 22:15:38

mat6937 hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:14:39
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:10:56
ICh hab gestern noch mit einer Mitarbeiterin gesprochen, die mich fälschlicherweise ( weil ich ja eine neue FB vom Techniker bekommen hatte )
fragte ob ich ihr die Seriennummer und MAC meiner FB durchgeben möchte um diese zu registrieren.
Da habe ich noch mit ihr über das Thema gesprochen..
Naja, Du hast doch selber geschrieben, welche Kenntnisse im 1. level support vorhanden sind.

Warum telefonierst Du nicht mit dem Business-Service, wenn Du einen Business-Tarif hast?
Mache ich doch immer.
Die die da dran gehen, bezeichne ich als First-Level, sind ja eh immer nur am weiterverbinden..

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 09.08.2018 22:19:01

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:10:56
Da habe ich noch mit ihr über das Thema gesprochen..

Sollte ich mich hier so vertun..?
Du könntest Recht evtl. haben, wenn man einen Business-Tarif ohne (zusätzliche) statische öffentliche IPv4-Adresse(n) hat.

EDIT:

Ein weiterer Test den Du bei aktiviertem Forwarding (Port 443), mit deiner FritzBox machen könntest, ist IPv6 mit 6to4 zu aktivieren und damit den Internetzugang mit IPv6 zu testen. Denn dann hast Du ein anderes gateway (192.88.99.1 bzw. 2002:c058:6301::1 in v6-Schreibweise) ins Internet. Ob das dann auch "blockiert" wird?

Code: Alles auswählen

mtr -6nr -c 2 -i 2 heise.de
ping6 -c 9 2a02:2e0:3fe:1001:302::
Dafür wird aber ein IPv6-fähiges Endgerät benötigt.

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 09.08.2018 23:32:50

mat6937 hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:19:01
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
09.08.2018 22:10:56
Da habe ich noch mit ihr über das Thema gesprochen..

Sollte ich mich hier so vertun..?
Du könntest Recht evtl. haben, wenn man einen Business-Tarif ohne (zusätzliche) statische öffentliche IPv4-Adresse(n) hat.

EDIT:

Ein weiterer Test den Du bei aktiviertem Forwarding (Port 443), mit deiner FritzBox machen könntest, ist IPv6 mit 6to4 zu aktivieren und damit den Internetzugang mit IPv6 zu testen. Denn dann hast Du ein anderes gateway (192.88.99.1 bzw. 2002:c058:6301::1 in v6-Schreibweise) ins Internet. Ob das dann auch "blockiert" wird?

Code: Alles auswählen

mtr -6nr -c 2 -i 2 heise.de
ping6 -c 9 2a02:2e0:3fe:1001:302::
Dafür wird aber ein IPv6-fähiges Endgerät benötigt.
:=) du gibst echt nicht auf - vielen Dank.
Ich habe das jetzt aber erstmal auf deinen Rat hin in dem inoffiziellen UnityMedia Forum gepostet und eventuell hat da einer eine Idee, leuchtende Erscheinung oder sonstigen Geistesblitz

https://www.unitymediaforum.de/viewtopi ... 90&t=37238

Ich bin grad etwas erschöpft, was das Thema betrifft, die Rückmeldung von AVM steht ja auch noch aus.
Heut mach ich nichts mehr, werde aber weiter berichten. Danke bis hierher für euer Engagement.

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 10.08.2018 15:02:07

Hallo Zusammen.

Das Problem ist gelöst - Heureka.
Nicht ganz so wie ich gedacht, aber doch befürchtet hatte.
Kurz vorab noch eine kleine Erklärung: ( jetzt kommen die echten Infos hrhrhr, nein hatte ich nicht mehr dran gedacht.)

Ich bin heute nochmal in mich gegangen und hab alles nochmal durchdacht, was eventuell 'aus dem Internet' kommen könnte und obwohl ich
einen Angriff auch nach wie vor für sehr unwahrscheinlich halte( hielt ) fiel mir ein...

Ich sagte ja, dass ich über DynDNS arbeite, da keine feste IP Adresse.
deswegen habe ich folgende Konstellation.

Code: Alles auswählen

<mydomain.de>  bei DomainFactory
<https://cloud.mydomain.de> --> Weiterleitung --> >cloud.dyndns.org> --> Weiterleitung --> IP Adresse meiner FritzBox
Ich konnte es mir zwar nicht vorstellen, aber ich habe einfach mal den Eintrag bei DynDNS gelöscht, nach ca 5 Minuten dauerping war der Eintrag tot und jetzt
funktioniert alles wieder wie vorher.
Habe ich jetzt auch zig mal mit Physik und VMs getestet.

puhhhhh ( wehe einer sagt jetzt wieder 'das war absehbar' :=)

------------------------------------------------------------------------

Folgende Fragen dazu:

Ist die Konstellation grundsätzlich Käse?
Wie habt ihr sowas, das ist ja jetzt nichts atemberaubendes?
War das jetzt doch ein Angriff oder hat DynDNS ein Problem?
Ich meine, den Link mit der Adresse von Dyn-DNS habe ich natürlich sehr oft auf Grund von OwnCloud in der Gegend umgeschickt.
Das wäre ja ein Leichtes den zu kopieren und zu bombardieren, oder total abwegig?

Ich würde hier echt gern eure Meinung zu hören und nehme Ratschläge gern an, denn das kann doch jederzeit wieder passieren.

Grüße und Danke für jede Mithilfe.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 10.08.2018 15:12:43

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:02:07
Ich sagte ja, dass ich über DynDNS arbeite, da keine feste IP Adresse.
deswegen habe ich folgende Konstellation.

Code: Alles auswählen

<mydomain.de>  bei DomainFactory
<https://cloud.mydomain.de> --> Weiterleitung --> >cloud.dyndns.org> --> Weiterleitung --> IP Adresse meiner FritzBox
Ich habe das so verstanden, dass Du den ddns-Client deiner FritzBox benutzt.
Was Du hier wie und warum weiterleitest bzw. umleitest verstehe ich nicht.

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 10.08.2018 15:17:01

mat6937 hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:12:43
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:02:07
Ich sagte ja, dass ich über DynDNS arbeite, da keine feste IP Adresse.
deswegen habe ich folgende Konstellation.

Code: Alles auswählen

<mydomain.de>  bei DomainFactory
<https://cloud.mydomain.de> --> Weiterleitung --> >cloud.dyndns.org> --> Weiterleitung --> IP Adresse meiner FritzBox
Ich habe das so verstanden, dass Du den ddns-Client deiner FritzBox benutzt.
Was Du hier wie und warum weiterleitest bzw. umleitest verstehe ich nicht.
Naja, ich habe eine eigene Domain, dafür eine Subdomain für meinen Cloud Kram...irgendwie muss ich diese Subdomain ja an meine FritzBox weiterleiten.
Meines Erachtens nach, geht das nur mit einem Dienst wie DynDNS, denn dessen Credentials kann ich ja zum Abgleich in der FritzBox eintragen.
Ich denke genauso wie das mit MyFritz neuerdings auch geht.

Aber wie gesagt, sag mir ruhig wenn das mist ist.
Aber was hälst du denn jetzt davon? Angriff?

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 10.08.2018 15:23:55

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:17:01
Aber wie gesagt, sag mir ruhig wenn das mist ist.
Aber was hälst du denn jetzt davon? Angriff?
Ich denke nicht, dass es ein Angriff ist, denn der wäre dann immer bzw. auch ohne die Portweiterleitung da.
Und welcher Zusammenhang sollte da mit der alten Konfig sein?

Evtl. liegt es am reverse-DNS für deiner externe/öffentliche IPv4-Adresse, der mit deiner Konstellation problematisch sein könnte und bei einer Portweiterleitung, vom Provider "geprüft" wird.

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 10.08.2018 15:27:58

mat6937 hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:23:55
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:17:01
Aber wie gesagt, sag mir ruhig wenn das mist ist.
Aber was hälst du denn jetzt davon? Angriff?
Ich denke nicht, dass es ein Angriff ist, denn der wäre dann immer bzw. auch ohne die Portweiterleitung da.
Und welcher Zusammenhang sollte da mit der alten Konfig sein?

Evtl. liegt es am reverse-DNS für deiner externe/öffentliche IPv4-Adresse, der mit deiner Konstellation problematisch sein könnte und bei einer Portweiterleitung, vom Provider "geprüft" wird.
Aber so abwegig ist das doch garnicht, den Namen kann doch ein Bot bombardieren. Jetzt ist der Name weg und es funktioniert nicht mehr.
Die Konstellation habe ich schon über zwei Jahre nicht mehr angefasst...
Und meine öffentliche IP ändert sich ja. deswegen ja DynDNS sonst könnte ich mir das doch sparen.
Oder Denkfehler?

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 10.08.2018 15:44:10

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:27:58
Aber so abwegig ist das doch garnicht, den Namen kann doch ein Bot bombardieren.
Warum soll ein Bot den Namen nur dann bombardieren, wenn in deiner FritzBox genau der Port 443 weitergeleitet ist und der entsprechende Client auch mit deiner FritzBox verbunden ist und auch nur dann wenn die alte Konfig (der FB) verwendet wird?

Wie ist mit und ohne deine Konstellation, die Ausgabe von:

Code: Alles auswählen

dig -x <externe-IPv4-Adresse> +short
dig -x <externe-IPv4-Adresse> +short @1.1.1.1
?

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 10.08.2018 15:48:57

Das ist jetzt aber von dir falsch gedacht, oder?

Das bombardieren würde natürlich die ganze Zeit passieren, das ist doch super easy zu machen, eben wie ein Dauerping ( mit 5.000 Bots ) auf den DynDNSnamen und fertig.
Der zeigt immer auf meine Fritzbox und in dem Moment, wo ich den weiterleite, kommt die nicht mehr hinterher mit vermitteln und stirbt. Wenn die nicht weiterleitet, weist sie ab.
So funktioniert doch sowas.

EDIT: das mit der alten Konfig ist ein gutes Argument dagegen, aber trotzdem...

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 10.08.2018 15:56:30

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:48:57
Das bombardieren würde natürlich die ganze Zeit passieren, das ist doch super easy zu machen, eben wie ein Dauerping ( mit 5.000 Bots ) auf den DynDNSnamen und fertig.
Der zeigt immer auf meine Fritzbox und in dem Moment, wo ich den weiterleite, kommt die nicht mehr hinterher mit vermitteln und stirbt. Wenn die nicht weiterleitet, weist sie ab.
So funktioniert doch sowas.
Du hast doch auf der Maschine auf die weitergeleitet worden ist, mit:

Code: Alles auswählen

tcpdump -c 400 -vvveni any port 443
festgestellt, dass aus dem Internet nichts verdächtiges bzw. keine Daueranfragen kommen? Oder?

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 10.08.2018 15:58:03

mat6937 hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:56:30
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:48:57
Das bombardieren würde natürlich die ganze Zeit passieren, das ist doch super easy zu machen, eben wie ein Dauerping ( mit 5.000 Bots ) auf den DynDNSnamen und fertig.
Der zeigt immer auf meine Fritzbox und in dem Moment, wo ich den weiterleite, kommt die nicht mehr hinterher mit vermitteln und stirbt. Wenn die nicht weiterleitet, weist sie ab.
So funktioniert doch sowas.
Du hast doch auf der Maschine auf die weitergeleitet worden ist, mit:

Code: Alles auswählen

tcpdump -c 400 -vvveni any port 443
festgestellt, dass aus dem Internet nichts verdächtiges bzw. keine Daueranfragen kommen? Oder?
Ja kann doch auch nicht, wenn die FB nicht weiterleitet und wenn sie es tut, stirbt sie.
Also ich WILL das nicht, dass das so ist, aber gerade scheint es mir das logischste.

Ich lasse gerade durch DomainFactory prüfen ob es ungewöhnlich viele Zugriffe auf meine subdomain gab..
Mal sehen...

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 10.08.2018 16:04:55

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
10.08.2018 15:58:03
Ja kann doch auch nicht, wenn die FB nicht weiterleitet und wenn sie es tut, stirbt sie.
Wenn sie stirbt, dann stirbt sie aber keinesfalls sofort. Einige Datenpakete kommen immer durch.

Es sei denn, Du hast den Test mit tcpdump nicht richtig angewendet.


EDIT:

... und wenn sie nicht weiterleitet dann ist es ja auch nicht so, dass sie die Anfragen (egal auf welchen Port der nicht weitergeleitet ist) ignoriert. Sie antwortet (je nach Art der Anfrage) dann mit icmp:

Code: Alles auswählen

78.##.###.### > 192.168.178.22: ICMP host 78.##.###.### unreachable - admin prohibited filter, length 36
	(tos 0x0, ttl 45, id 53386, offset 0, flags [none], proto TCP (6), length 44)
    192.168.178.22.45687 > 78.##.###.###.443: [|tcp]

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 11:06:20

Guten Morgen,

ich bekomm die Pimpernellen...

Mittlerweile bin ich RIP Kunde bei UM und hab ne feste IP Adresse, so dass ich mir den Umweg über dynDNS sparen kann.

Ich habe mir gestern A Records erstellt:

cloud.mydomain.de > meine neue UM IP Adresse
web.mydomain.de > meine neue UM IP Adresse

Ich habe gestern wieder meinen ganzen Docker Kram eingerichtet und meine Webseite ( web.mydomain.de ) und OwnCloud (cloud.mydomain.de) wieder in Betrieb genommen.

Seite gestern Abend ca 16:00 Uhr funktionierte das auch wunderbar, hab mich gefreut wie ein Schneekönig, dass alles wieder in Ordnung ist.

Seit ca. 10:35 Uhr heute morgen wieder das alte Phänomen.

Freundin sagte mir "Internet, geht wieder nicht...?" ..dunkle Vorahnung

Schneller Test, Server ausschalten auf den die Weiterleitung zeigt. Problem behoben ;=(
Portforwarding deaktiviert, Server hochgefahren, kein Problem.
Forwarding aktiviert, wieder das Problem...liegt also definitiv an der Weiterleitung..

Hab das auch wieder auf eine VM weitergeleitet, das selbe...
Es hat also was mit meiner Domain-Weiterleitung auf meine FB zu tun...was anderes kann es doch einfach nicht sein oder?
Und dann auch erst nach einiger Zeit....

Ich geb mir echt langsam die Kugel.

mat, noch ne Idee was ich machen könnte?

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 12.08.2018 11:14:26

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:06:20
Mittlerweile bin ich RIP Kunde bei UM und hab ne feste IP Adresse, so dass ich mir den Umweg über dynDNS sparen kann.

Ich habe mir gestern A Records erstellt:

cloud.mydomain.de > meine neue UM IP Adresse
web.mydomain.de > meine neue UM IP Adresse
Hast Du für diese A-Records auch schon "Reverse-DNS Einträge" bei Unitymedia beantragt?

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 11:18:07

mat6937 hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:14:26
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:06:20
Mittlerweile bin ich RIP Kunde bei UM und hab ne feste IP Adresse, so dass ich mir den Umweg über dynDNS sparen kann.

Ich habe mir gestern A Records erstellt:

cloud.mydomain.de > meine neue UM IP Adresse
web.mydomain.de > meine neue UM IP Adresse
Hast Du für diese A-Records auch schon "Reverse-DNS Einträge" bei Unitymedia beantragt?
nein, warum muss ich das?
Auf dem Feld bin ich leider nicht allzu bewandert.
Aber kann das denn solche Auswirkungen haben, etwas damit zu tun haben?
Im Zweifel würde es doch NICHT funktionieren, oder?

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 12.08.2018 11:20:02

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:18:07
nein, warum muss ich das?
Versuch es mal. Siehe z. B.: "Wie richte ich meinen Reverse-DNS-Eintrag ein?" in:


https://www.unitymediabusiness.de/conte ... he-ip.html

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 11:21:42

Ürigens hat sich auch bei der Testaktion gerade, meine Fritzbox neu gestartet..

Ich konnte aber bei der Aktivierung der Weiterleitung noch den tcpdump mitlesen, du bist doch immer ganz wild darauf :=)

Code: Alles auswählen

root@DEB-SRV01:~# tcpdump -c 400 -vvveni any port 443
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
11:08:02.827395  In 44:4e:6d:82:9e:32 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 6012, offset 0, flags [DF], proto TCP (6), length 60)
    37.24.59.146.57646 > 10.0.0.252.443: Flags [S], cksum 0x2ad2 (correct), seq 1090246107, win 29200, options [mss 1460,sackOK,TS val 1506601962 ecr 0,nop,wscale 7], length 0
11:08:02.827513 Out 00:08:9b:e5:ff:e2 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 21376, offset 0, flags [DF], proto TCP (6), length 40)
    10.0.0.252.443 > 37.24.59.146.57646: Flags [R.], cksum 0x4a69 (correct), seq 0, ack 1090246108, win 0, length 0
11:08:02.829792  In 44:4e:6d:82:9e:32 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 28626, offset 0, flags [DF], proto TCP (6), length 60)
    37.24.59.146.57656 > 10.0.0.252.443: Flags [SEW], cksum 0x307d (correct), seq 1683794946, win 29200, options [mss 1460,sackOK,TS val 1506601965 ecr 0,nop,wscale 7], length 0
11:08:02.829878 Out 00:08:9b:e5:ff:e2 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 21377, offset 0, flags [DF], proto TCP (6), length 40)
    10.0.0.252.443 > 37.24.59.146.57656: Flags [R.], cksum 0x50d7 (correct), seq 0, ack 1683794947, win 0, length 0
11:08:02.832145  In 44:4e:6d:82:9e:32 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 33959, offset 0, flags [DF], proto TCP (6), length 60)
    37.24.59.146.57658 > 10.0.0.252.443: Flags [SEW], cksum 0xaec9 (correct), seq 1251493750, win 29200, options [mss 1460,sackOK,TS val 1506601967 ecr 0,nop,wscale 7], length 0
11:08:02.832238 Out 00:08:9b:e5:ff:e2 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 21378, offset 0, flags [DF], proto TCP (6), length 40)
    10.0.0.252.443 > 37.24.59.146.57658: Flags [R.], cksum 0xcf25 (correct), seq 0, ack 1251493751, win 0, length 0
Danach war meine FB weg und hat sich neu gestartet.

Weißt du, wenn etwas nicht funkioiniert, ist das ja klar.
Aber jetzt funktioniert es wieder bis heute morgen und dann nicht mehr? Dazwischen hab ich nichts geändert ausser meine Wordpress Seite getestet, von Außen, über die Weiterleitung...1a...

geht nicht in meinen Kopf..

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 11:31:19

mat6937 hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:20:02
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:18:07
nein, warum muss ich das?
Versuch es mal. Siehe z. B.: "Wie richte ich meinen Reverse-DNS-Eintrag ein?" in:


https://www.unitymediabusiness.de/conte ... he-ip.html
Ok ich bin auf der Seite von UM,
Ich habe 3 A Records bei DomainFactory erstellt, da wo ich meine Domain hoste.

web.domain.de
cloud.domain.de
vpn.domain.de

alle zeigen auf meine IP

bei UM mache ich das jetzt umgekehrt?
Die wollen IP und reverse DNS Namen

also
meine IP und web.domain.de
meine IP und cloud.domain.de usw?

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 12.08.2018 11:33:38

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:21:42

Code: Alles auswählen

root@DEB-SRV01:~# tcpdump -c 400 -vvveni any port 443
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
11:08:02.827395  In 44:4e:6d:82:9e:32 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 6012, offset 0, flags [DF], proto TCP (6), length 60)
    37.24.59.146.57646 > 10.0.0.252.443: Flags [S], cksum 0x2ad2 (correct), seq 1090246107, win 29200, options [mss 1460,sackOK,TS val 1506601962 ecr 0,nop,wscale 7], length 0
11:08:02.827513 Out 00:08:9b:e5:ff:e2 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 21376, offset 0, flags [DF], proto TCP (6), length 40)
    10.0.0.252.443 > 37.24.59.146.57646: Flags [R.], cksum 0x4a69 (correct), seq 0, ack 1090246108, win 0, length 0
Der Server (Port 443) antwortet auf jeden Versuch, von außen eine Verbindung zu ihm aufzubauen (1.-weg-Handschlag mit dem dem syn-flag) mit einem reset+ack-Flag (statt mit dem syn+ack-Flag als 2.-weg-Handschlag). Das könnte auch an der Server-Konfiguration liegen.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 12.08.2018 11:36:20

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:31:19
bei UM mache ich das jetzt umgekehrt?
Die wollen IP und reverse DNS Namen

also
meine IP und web.domain.de
meine IP und cloud.domain.de usw?
Ja. Wirst ja sehen ob man auch mehrere hostnamen(+domain) auf eine einzige statische öffentliche IPv4-Adresse, bei Unitymedia als Reverse-DNS-Eintrag einrichten kann.

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 11:42:44

mat6937 hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:33:38
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:21:42

Code: Alles auswählen

root@DEB-SRV01:~# tcpdump -c 400 -vvveni any port 443
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
11:08:02.827395  In 44:4e:6d:82:9e:32 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 6012, offset 0, flags [DF], proto TCP (6), length 60)
    37.24.59.146.57646 > 10.0.0.252.443: Flags [S], cksum 0x2ad2 (correct), seq 1090246107, win 29200, options [mss 1460,sackOK,TS val 1506601962 ecr 0,nop,wscale 7], length 0
11:08:02.827513 Out 00:08:9b:e5:ff:e2 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 21376, offset 0, flags [DF], proto TCP (6), length 40)
    10.0.0.252.443 > 37.24.59.146.57646: Flags [R.], cksum 0x4a69 (correct), seq 0, ack 1090246108, win 0, length 0
Der Server (Port 443) antwortet auf jeden Versuch, von außen eine Verbindung zu ihm aufzubauen (1.-weg-Handschlag mit dem dem syn-flag) mit einem reset+ack-Flag (statt mit dem syn+ack-Flag als 2.-weg-Handschlag). Das könnte auch an der Server-Konfiguration liegen.
JA, mag sein und ich unke ja ungern, aber wieder bei jeder physikalischen Maschine und bei jeder VM?
höchst unwahrscheinlich und jede Wette, wenn ich den A Record gleich entferne und nichts aus dem INet zu mir zeigt, läuft wieder alles gut...

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 14:26:34

So wie ich es voraus gesagt habe.
Ich habe die A Records cloud und web.domain gelöscht.

Ist jetzt gerade aktiv geworden.
Weiterleitung des Ports verursacht keine Probleme mehr.

Das soll einer verstehen...

Benutzeravatar
Rubberduck
Beiträge: 177
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 13.08.2018 14:45:56

Also ich weiß ja nicht, ob hier noch jemand mit liest, aber....

mittlerweile habe ich andere A Records für meine Weiterleitung und damit gibt es keine Probleme.

Was ich da hatte mit der Konfiguration, war glaube ich ....verrand in irgendwas, da zuviel parallel probiert und falsch geschlussfolgert.

Abschließend bin ich mit ziemlich sicher über:

1 Der A Record cloud.mydomain.de war entweder seitens meines Providers ....irgendwie defekt oder
ich wurde permanent darauf beschossen. Defekt ist natürlich schwachsinn, das ist nur ne Tabelle mit namen | IPs, ich wolte nur eine
andere Möglichkeit einräumen.
Ich weiß dass sich das unrealistisch anhören mag, aber seit ich neue A Records benutze und die alten gelöscht habe, läuft alles tutti.

Das spricht einfach gegen irgendeinen Defekt auf meiner FB und auch gegen einen Fehler in irgendeinem System von mir.

Wenn das jetzt so bleibt, mach ich den Thread hier zu.
Vielen Dank nochmal.

Antworten