Netzwerkattacke oder FritzBox defekt?

Alles rund um sicherheitsrelevante Fragen und Probleme.
mat6937
Beiträge: 1060
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 12.08.2018 11:14:26

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:06:20
Mittlerweile bin ich RIP Kunde bei UM und hab ne feste IP Adresse, so dass ich mir den Umweg über dynDNS sparen kann.

Ich habe mir gestern A Records erstellt:

cloud.mydomain.de > meine neue UM IP Adresse
web.mydomain.de > meine neue UM IP Adresse
Hast Du für diese A-Records auch schon "Reverse-DNS Einträge" bei Unitymedia beantragt?

Benutzeravatar
Rubberduck
Beiträge: 175
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 11:18:07

mat6937 hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:14:26
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:06:20
Mittlerweile bin ich RIP Kunde bei UM und hab ne feste IP Adresse, so dass ich mir den Umweg über dynDNS sparen kann.

Ich habe mir gestern A Records erstellt:

cloud.mydomain.de > meine neue UM IP Adresse
web.mydomain.de > meine neue UM IP Adresse
Hast Du für diese A-Records auch schon "Reverse-DNS Einträge" bei Unitymedia beantragt?
nein, warum muss ich das?
Auf dem Feld bin ich leider nicht allzu bewandert.
Aber kann das denn solche Auswirkungen haben, etwas damit zu tun haben?
Im Zweifel würde es doch NICHT funktionieren, oder?

mat6937
Beiträge: 1060
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 12.08.2018 11:20:02

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:18:07
nein, warum muss ich das?
Versuch es mal. Siehe z. B.: "Wie richte ich meinen Reverse-DNS-Eintrag ein?" in:


https://www.unitymediabusiness.de/conte ... he-ip.html

Benutzeravatar
Rubberduck
Beiträge: 175
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 11:21:42

Ürigens hat sich auch bei der Testaktion gerade, meine Fritzbox neu gestartet..

Ich konnte aber bei der Aktivierung der Weiterleitung noch den tcpdump mitlesen, du bist doch immer ganz wild darauf :=)

Code: Alles auswählen

root@DEB-SRV01:~# tcpdump -c 400 -vvveni any port 443
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
11:08:02.827395  In 44:4e:6d:82:9e:32 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 6012, offset 0, flags [DF], proto TCP (6), length 60)
    37.24.59.146.57646 > 10.0.0.252.443: Flags [S], cksum 0x2ad2 (correct), seq 1090246107, win 29200, options [mss 1460,sackOK,TS val 1506601962 ecr 0,nop,wscale 7], length 0
11:08:02.827513 Out 00:08:9b:e5:ff:e2 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 21376, offset 0, flags [DF], proto TCP (6), length 40)
    10.0.0.252.443 > 37.24.59.146.57646: Flags [R.], cksum 0x4a69 (correct), seq 0, ack 1090246108, win 0, length 0
11:08:02.829792  In 44:4e:6d:82:9e:32 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 28626, offset 0, flags [DF], proto TCP (6), length 60)
    37.24.59.146.57656 > 10.0.0.252.443: Flags [SEW], cksum 0x307d (correct), seq 1683794946, win 29200, options [mss 1460,sackOK,TS val 1506601965 ecr 0,nop,wscale 7], length 0
11:08:02.829878 Out 00:08:9b:e5:ff:e2 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 21377, offset 0, flags [DF], proto TCP (6), length 40)
    10.0.0.252.443 > 37.24.59.146.57656: Flags [R.], cksum 0x50d7 (correct), seq 0, ack 1683794947, win 0, length 0
11:08:02.832145  In 44:4e:6d:82:9e:32 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 33959, offset 0, flags [DF], proto TCP (6), length 60)
    37.24.59.146.57658 > 10.0.0.252.443: Flags [SEW], cksum 0xaec9 (correct), seq 1251493750, win 29200, options [mss 1460,sackOK,TS val 1506601967 ecr 0,nop,wscale 7], length 0
11:08:02.832238 Out 00:08:9b:e5:ff:e2 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 21378, offset 0, flags [DF], proto TCP (6), length 40)
    10.0.0.252.443 > 37.24.59.146.57658: Flags [R.], cksum 0xcf25 (correct), seq 0, ack 1251493751, win 0, length 0
Danach war meine FB weg und hat sich neu gestartet.

Weißt du, wenn etwas nicht funkioiniert, ist das ja klar.
Aber jetzt funktioniert es wieder bis heute morgen und dann nicht mehr? Dazwischen hab ich nichts geändert ausser meine Wordpress Seite getestet, von Außen, über die Weiterleitung...1a...

geht nicht in meinen Kopf..

Benutzeravatar
Rubberduck
Beiträge: 175
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 11:31:19

mat6937 hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:20:02
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:18:07
nein, warum muss ich das?
Versuch es mal. Siehe z. B.: "Wie richte ich meinen Reverse-DNS-Eintrag ein?" in:


https://www.unitymediabusiness.de/conte ... he-ip.html
Ok ich bin auf der Seite von UM,
Ich habe 3 A Records bei DomainFactory erstellt, da wo ich meine Domain hoste.

web.domain.de
cloud.domain.de
vpn.domain.de

alle zeigen auf meine IP

bei UM mache ich das jetzt umgekehrt?
Die wollen IP und reverse DNS Namen

also
meine IP und web.domain.de
meine IP und cloud.domain.de usw?

mat6937
Beiträge: 1060
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 12.08.2018 11:33:38

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:21:42

Code: Alles auswählen

root@DEB-SRV01:~# tcpdump -c 400 -vvveni any port 443
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
11:08:02.827395  In 44:4e:6d:82:9e:32 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 6012, offset 0, flags [DF], proto TCP (6), length 60)
    37.24.59.146.57646 > 10.0.0.252.443: Flags [S], cksum 0x2ad2 (correct), seq 1090246107, win 29200, options [mss 1460,sackOK,TS val 1506601962 ecr 0,nop,wscale 7], length 0
11:08:02.827513 Out 00:08:9b:e5:ff:e2 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 21376, offset 0, flags [DF], proto TCP (6), length 40)
    10.0.0.252.443 > 37.24.59.146.57646: Flags [R.], cksum 0x4a69 (correct), seq 0, ack 1090246108, win 0, length 0
Der Server (Port 443) antwortet auf jeden Versuch, von außen eine Verbindung zu ihm aufzubauen (1.-weg-Handschlag mit dem dem syn-flag) mit einem reset+ack-Flag (statt mit dem syn+ack-Flag als 2.-weg-Handschlag). Das könnte auch an der Server-Konfiguration liegen.

mat6937
Beiträge: 1060
Registriert: 09.12.2014 10:44:00

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 12.08.2018 11:36:20

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:31:19
bei UM mache ich das jetzt umgekehrt?
Die wollen IP und reverse DNS Namen

also
meine IP und web.domain.de
meine IP und cloud.domain.de usw?
Ja. Wirst ja sehen ob man auch mehrere hostnamen(+domain) auf eine einzige statische öffentliche IPv4-Adresse, bei Unitymedia als Reverse-DNS-Eintrag einrichten kann.

Benutzeravatar
Rubberduck
Beiträge: 175
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 11:42:44

mat6937 hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:33:38
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
12.08.2018 11:21:42

Code: Alles auswählen

root@DEB-SRV01:~# tcpdump -c 400 -vvveni any port 443
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
11:08:02.827395  In 44:4e:6d:82:9e:32 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 6012, offset 0, flags [DF], proto TCP (6), length 60)
    37.24.59.146.57646 > 10.0.0.252.443: Flags [S], cksum 0x2ad2 (correct), seq 1090246107, win 29200, options [mss 1460,sackOK,TS val 1506601962 ecr 0,nop,wscale 7], length 0
11:08:02.827513 Out 00:08:9b:e5:ff:e2 ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 21376, offset 0, flags [DF], proto TCP (6), length 40)
    10.0.0.252.443 > 37.24.59.146.57646: Flags [R.], cksum 0x4a69 (correct), seq 0, ack 1090246108, win 0, length 0
Der Server (Port 443) antwortet auf jeden Versuch, von außen eine Verbindung zu ihm aufzubauen (1.-weg-Handschlag mit dem dem syn-flag) mit einem reset+ack-Flag (statt mit dem syn+ack-Flag als 2.-weg-Handschlag). Das könnte auch an der Server-Konfiguration liegen.
JA, mag sein und ich unke ja ungern, aber wieder bei jeder physikalischen Maschine und bei jeder VM?
höchst unwahrscheinlich und jede Wette, wenn ich den A Record gleich entferne und nichts aus dem INet zu mir zeigt, läuft wieder alles gut...

Benutzeravatar
Rubberduck
Beiträge: 175
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 12.08.2018 14:26:34

So wie ich es voraus gesagt habe.
Ich habe die A Records cloud und web.domain gelöscht.

Ist jetzt gerade aktiv geworden.
Weiterleitung des Ports verursacht keine Probleme mehr.

Das soll einer verstehen...

Benutzeravatar
Rubberduck
Beiträge: 175
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 13.08.2018 14:45:56

Also ich weiß ja nicht, ob hier noch jemand mit liest, aber....

mittlerweile habe ich andere A Records für meine Weiterleitung und damit gibt es keine Probleme.

Was ich da hatte mit der Konfiguration, war glaube ich ....verrand in irgendwas, da zuviel parallel probiert und falsch geschlussfolgert.

Abschließend bin ich mit ziemlich sicher über:

1 Der A Record cloud.mydomain.de war entweder seitens meines Providers ....irgendwie defekt oder
ich wurde permanent darauf beschossen. Defekt ist natürlich schwachsinn, das ist nur ne Tabelle mit namen | IPs, ich wolte nur eine
andere Möglichkeit einräumen.
Ich weiß dass sich das unrealistisch anhören mag, aber seit ich neue A Records benutze und die alten gelöscht habe, läuft alles tutti.

Das spricht einfach gegen irgendeinen Defekt auf meiner FB und auch gegen einen Fehler in irgendeinem System von mir.

Wenn das jetzt so bleibt, mach ich den Thread hier zu.
Vielen Dank nochmal.

spiralnebelverdreher
Beiträge: 1160
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Netzwerkattacke oder FritzBox defekt?

Beitrag von spiralnebelverdreher » 14.08.2018 23:29:46

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
13.08.2018 14:45:56
Also ich weiß ja nicht, ob hier noch jemand mit liest, aber....

mittlerweile habe ich andere A Records für meine Weiterleitung und damit gibt es keine Probleme.

Was ich da hatte mit der Konfiguration, war glaube ich ....verrand in irgendwas, da zuviel parallel probiert und falsch geschlussfolgert.

Abschließend bin ich mit ziemlich sicher über:

1 Der A Record cloud.mydomain.de war entweder seitens meines Providers ....irgendwie defekt oder
ich wurde permanent darauf beschossen. Defekt ist natürlich schwachsinn, das ist nur ne Tabelle mit namen | IPs, ich wolte nur eine
andere Möglichkeit einräumen.
Ich weiß dass sich das unrealistisch anhören mag, aber seit ich neue A Records benutze und die alten gelöscht habe, läuft alles tutti.

Das spricht einfach gegen irgendeinen Defekt auf meiner FB und auch gegen einen Fehler in irgendeinem System von mir.

Wenn das jetzt so bleibt, mach ich den Thread hier zu.
Vielen Dank nochmal.
Du hattest vor einigen Tagen folgendes berichtet:
Oh my God!

Ich könnte mich sowas von ärgern.-

Da ich heute im Homeoffice sitze, habe ich gedacht, was solls, testest du es eben heute noch.
Kurz nochmal geprüft, 443 Freigabe auf meinen Server oder eine andere aktive VM hat keine Auswirkung mit der neuen BOX und der manuellen Konfiguration.

Neue FB Konfiguration abgespeichert.
Alte FB Konfiguration geladen.
Nach dem Neustart, das selbe Problem
OK, liegt also an der Konfguration, schön das ich eine Sicherung der NEUEN Konfiguration der NEUEN Box hab.
Wiederherstellung der neuen Konfiguration.

Was soll ich euch sagen, jetzt habe ich das Problem auch mit der neuen Fritzbox und der neuen Konfiguration.
Ich habe mehrfach die Konfigdatei geprüft, zumahl sie auch ein unterschiedliches Kennwort hat und die Einstellungen anders sind usw.

Ok, Werkseinstellungen laden.
Manuelle Konfiguration ( nur Wlan, alles andere so gelassen)
443 Weiterleitung auf VM eingerichtet.
Abgewandeltes Problem. Ich bekomme extreme Antwortzeiten, Time out ins Internet.

Ich hab den Ping von einer anxderen Maschine zu dem Zeitpunkt kopiert. ...
Irgendwie fehlt mir das Verständnis, wie das zusammen hängt. Wieso hat heute die Änderung des A-Records hat und das Laden einer alten Konfiguration in der FritzBox vor einigen Tagen die gleichen Auswirkungen? Ich verstehe gut, dass du froh bist die Probleme los zu haben. Aber was war denn nun Ursache und was nicht?

Benutzeravatar
Rubberduck
Beiträge: 175
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: [gelöst]Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 15.08.2018 00:09:48

Hi,

ehrlich gesagt, kann ich es dir nicht so richtig erklären.
Zu dem Zeitpunkt als ich getestet hatte, habe ich so vieles gleichzeitig getestet, dass ich wohl nicht mehr richtig im Überblick hatte,
wann ich denn bei DomainFactory mit den A Records rumgespielt hatte ( das dauert ja auch immer eine Stunde oder mehr bis das aktiv ist) und wann ich
die alte Konfiguration in die neue FritzBox importiert habe.
In diese Moment sah es für mich so aus, als wenn mit dem Import der alten Konfiguration, das Problem sozusagen mit importiert wurde,
wahrscheinlich hat aber einfach mein "An-Ausschalten" der A Records bei DomainFactory gegriffen, so dass ich dachte es wäre so.

Fakt ist aber definitiv, dass wenn ich den Eintrag cloud.mydomain.de bei DomainFactory aktiviere, und an meiner FB den Port 443 auf eine aktive Maschine weiterleite, die besagten Probleme auftreten. Nach wie vor.
Mit allen anderen Records eben nicht.

Für mich - auch wenn es noch so unrealistisch erscheint - sieht es wie eine Art Angriff aus.
Eventuell sowas https://www.searchsecurity.de/definitio ... er-Angriff

In den nächsten Tagen nimmt sich ein Kollege ne andere alte FritzBox mit, dann werde ich den Eintrag nochmal erstellen und auf seine IP umleiten.
Ich kann dir einfach keine bessere Erklärung geben.

Gruß

mat6937
Beiträge: 1060
Registriert: 09.12.2014 10:44:00

Re: [gelöst]Netzwerkattacke oder FritzBox defekt?

Beitrag von mat6937 » 15.08.2018 00:32:02

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
15.08.2018 00:09:48
Für mich - auch wenn es noch so unrealistisch erscheint - sieht es wie eine Art Angriff aus.
Eventuell sowas https://www.searchsecurity.de/definitio ... er-Angriff
Ich denke nicht, dass es ein Angriff auf dein Gerät (tcp Port 443) ist.

Aber syn flood Angriffe kannst Du z. B. mit tcpdump und dem entsprechenden Filter, auf dem Endgerät anzeigen lassen:

Code: Alles auswählen

tcpdump -c 300 -vvveni any tcp dst port 443 and 'tcp[tcpflags] & (tcp-syn) != 0'

Benutzeravatar
Rubberduck
Beiträge: 175
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: [gelöst]Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 15.08.2018 00:34:15

mat6937 hat geschrieben: ↑ zum Beitrag ↑
15.08.2018 00:32:02
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
15.08.2018 00:09:48
Für mich - auch wenn es noch so unrealistisch erscheint - sieht es wie eine Art Angriff aus.
Eventuell sowas https://www.searchsecurity.de/definitio ... er-Angriff
Ich denke nicht, dass es ein Angriff auf dein Gerät (tcp Port 443) ist.

Aber syn flood Angriffe kannst Du z. B. mit tcpdump und dem entsprechenden Filter, auf dem Endgerät anzeigen lassen:

Code: Alles auswählen

tcpdump -c 300 -vvveni any tcp dst port 443 and 'tcp[tcpflags] & (tcp-syn) != 0'
Was glaubst du denn WAS es ist ?

Benutzeravatar
Rubberduck
Beiträge: 175
Registriert: 14.07.2013 21:48:19
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Langenfeld Rheinland

Re: [gelöst]Netzwerkattacke oder FritzBox defekt?

Beitrag von Rubberduck » 15.08.2018 01:00:59

Rubberduck hat geschrieben: ↑ zum Beitrag ↑
15.08.2018 00:34:15
mat6937 hat geschrieben: ↑ zum Beitrag ↑
15.08.2018 00:32:02
Rubberduck hat geschrieben: ↑ zum Beitrag ↑
15.08.2018 00:09:48
Für mich - auch wenn es noch so unrealistisch erscheint - sieht es wie eine Art Angriff aus.
Eventuell sowas https://www.searchsecurity.de/definitio ... er-Angriff
Ich denke nicht, dass es ein Angriff auf dein Gerät (tcp Port 443) ist.

Aber syn flood Angriffe kannst Du z. B. mit tcpdump und dem entsprechenden Filter, auf dem Endgerät anzeigen lassen:

Code: Alles auswählen

tcpdump -c 300 -vvveni any tcp dst port 443 and 'tcp[tcpflags] & (tcp-syn) != 0'
Was glaubst du denn WAS es ist ?
ÜBrigens grad mal durchgeführt

Code: Alles auswählen

37.24.59.146.52294 > 10.0.0.252.443: Flags [SEW], cksum 0xa255 (correct), seq 137527334, win 29200, options [mss 1460,sackOK,TS val 1959525390 ecr 0,nop,wscale 7], length 0
00:57:02.475857  In 44:4e:6d:82:9e:32 ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 18018, offset 0, flags [DF], proto TCP (6), length 60)
    37.24.59.146.52296 > 10.0.0.252.443: Flags [SEW], cksum 0x74a2 (correct), seq 912883613, win 29200, options [mss 1460,sackOK,TS val 1959525393 ecr 0,nop,wscale 7], length 0
300 packets captured
302 packets received by filter
0 packets dropped by kernel

Antworten