Teledat 530 Router und immer "SYN Flood to Host"

#1 Teledat 530 Router mit eingebautem Firewall und Grundeinstellungen verursachen immer wieder den angeblichen Angriff "SYN Flood to Host" was man dann auch schön per Mail zugesandt bekommt.
WER kennt die perfekte Einstellung damit der Fehler nicht mehr auftritt und bei vielen Webseiten auch alle Elemente geladen werden.

Es liegt sicher im Angriffserkennungsmodul des Routers dessen Grundeinstellungen ich hier mal kopiere.

Verhalten bei Verbindung

Fragmentierung halb geöffnet, warten: 10 Sek.
TCP SYN warten: 30 Sek.
TCP FIN warten: 5 Sek.
TCP Verbindung, Leerlaufüberschreitung: 3600 Sek.
UDP Sitzung, Leerlaufüberschreitung: 30 Sek.
H.323 Datenkanal, Leerlaufüberschreitung: 180 Sek.

Kriterien zur DoS Erkennung

Gesamt unvollständiger TCP/UDP Sitzungen, HOCH: 300 Sitzung
Gesamt unvollständiger TCP/UDP Sitzungen, NIEDRIG: 200 Sitzung
Unvollständige TCP/UDP Sitzungen (pro Min.), HOCH: 250 Sitzung
Unvollständige TCP/UDP Sitzungen (pro Min.), NIEDRIG: 200 Sitzung
Maximalanzahl unvollständiger TCP/UDP Sitzungen vom gleichen Host: 10
Zeitraum für das Erkennen unvollständiger TCP/UDP Sitzungen: 300 msec.
Maximalanzahl halb geöffneter Fragmentierungspakete vom gleichen Host: 30
Zeitraum für das Erkennen halb geöffneter Fragmentierung: 10000 msec.
Sperrzeit für "Flooding Cracker" (Überfüllung): 300 sec.


Eventuell hat jemand in der sach schon perfekte Erfahrung, mit Dank HW

#2 Moin H-Williams,

die Voreinstellungen seitens des Herstellers (oder der Teledumm) sind für A.... (weiß wohl jeder was gemeint ist :-))

Ich habe bei mir folgende Einstellungen und fahre damit sehr gut



So long

Senenfer

#3 Ich bedanke mich und werde die Einstellungen übernehmen.
In ein paar Tagen werde ich dann hier berichten ob sich meine Problemchen gebessert haben.
Es sind doch schon einige Einstellungen geändert.

Tschüß

#4 und nu H-Williams, hat sich s gebessert bei dir ?

ich hab dieselben fehlermeldungen. nach anpassung an obige einstellung kommt es vielleicht nicht mehr so häufig vor, aber wenn dann hilft nur mehr ausschalten ...

wer hat noch tips ???

#5 Hallo!

Ich muß sagen, es sieht wesentlich besser aus, die "SYN Flood to Host" sind nun nicht mehr aufgetreten. Bei Onlinebanking mit IE6 gibts auch keine Probleme mehr und es werden auch wieder alle Elemente einer Seite geladen.

Kleiner Nachteil es kommt jetzt öfter die Message: "smurf" und Message: "TCP Null Scan". Wobei "smurf" vorher auch auftrat, jedoch nicht so oft. Alles in Allem bin ich mit der Einstellung zufriedener, um die beiden Sachen werde ich mich mal kümmern wenn Zeit ist, aber wenn es echte Angriffe sind dann funktioniert ja alles Bestens und man muß die Infomail über die Abwehr auch bekommen.

Gruß Hansi!

#6 Moin,

Zitat

H-Williams postete
Kleiner Nachteil es kommt jetzt öfter die Message: "smurf" und Message: "TCP Null Scan". Wobei "smurf" vorher auch auftrat, jedoch nicht so oft.

Das mit den "smurf-Attacken" und "TCP Null Scan" resultiert aus den Einstellungen für "Gesamt unvollständige TCP/UDP Sitzungen" und "Unvollständige TCP/UDP Sitzungen (pro Minute)".
Diese Meldungen kannst Du aber getrost ignorieren. Liegt an der verwendeten Firewall, soweit ich das bis jetzt sagen kann. Laut Telekom verbirgt sich irgend ein Noname-Hersteller (Atcen oder so ähnlich) hinter dem Router. Ich konnte leider noch nicht ermitteln, was für ein OS auf dem Router läuft und welche Firewall benutzt wird - vielleicht hat da ja jemand mehr informationen.

Bei diesen SoHo-Routern hat man eh die Wahl

- entweder Sicher, dafür aber keine Filesharingprogramme benutzen
- oder etwas unsicherer, dafür aber Filesharing

Gute Router mit ner vernünftigen Firewall kosten auch nen Euro mehr, da kann man die Einstellungen viel feiner vornehmen.

Sennefer

#7 Dank an Sennefer für die promte Erklärung!

Mmm und ich dachte schon ich hätte ein guten Router mit Firewall (Teledat 530 Router aus Telekomserie mit Druckserver).

Aber ich bin schon mit zufrieden, hat jedoch schon etwas mehr gekostet. .....steht auch ein schönes ..T.. drann...... Aber na ja, ich bin kein Raucher, um gleich auf die politische Lage einzugehen und werde es wohl so schnell eingespart haben, zum Leid der Steuerschätzer. :-))

Gruß mit Dank Hansi

#8 Moin,

Zitat

H-Williams postete
Mmm und ich dachte schon ich hätte ein guten Router mit Firewall (Teledat 530 Router aus Telekomserie mit Druckserver).

Den hab ich auch, noch, hab mir aber noch den 730er mit WLAN Access Point geholt. Irgendwie scheint da die Firewall jedoch etwas anders zu sein, kaum smurf-Attacken bei gleichen Einstellungen. Und was auch noch recht nett ist, der ADSL-Status, den man bei dem 530er auch nicht hat. Wie das aussieht, kannste Dir unter dem folgenden Link anschauen:

ADSL-Status: hier

Über diesen ADSL-Status lässt sich auch erkennen, was es seitens der Telekom für einen Unterschied zwischen Interleaving und FastPath gibt. Interleaving läuft über einen Nebenkanal, FastPath über den Hauptkanal.

Sennefer

#9 zur zeit schaut es auch bei mir prima aus, im log sind nur smurf attacken (fein zu wissen, dass man die getrost ignorieren kann ..)

manchmal allerdings scheint sich der teledat 530 komplett aufzuhängen - dann komme ich nicht mehr raus, jegliche connection refused, egal auf welchen server, selbst auf den teledat 530 um z.b. status anzuschauen ... kommt nur connection refused.
da hilft nur mehr aus/einschalten, und damit ist ja dann auch das protokoll weg ...

habt ihr irgendeine idee ???

#10 eine weitere Meldung noch
ICMP Redirect from WAN

keine ahnung was das bedeutet ?
kann man das ebenfalls getrost ignorieren ?

#11 Moin,

Zitat

mixegl postete
eine weitere Meldung noch
ICMP Redirect from WAN

ICMP = Internet Control Message Protokoll, das wird von jedem Verbindungsaufbau benutzt um zu überprüfen, ob die Gegenseite

a) existiert
b) erreichbar ist.

Ping ist z.b. mal ne praktische Anwendung wo man das sehr schön sehen kann. Die Antwortzeiten kommen direkt vom ICMP, kannst also auch "übersehen". Die Teledat-Router sind so ausgelegt, das sie einen unaufgeforderten Verbindungsaufbau nicht so ohne weiteres zulassen.

Sennefer

#12 ok, danke sennefer

bin halt auf der suche nach möglichen gründen für diese vollständigen disconnects, da geht dann gar nichts mehr, selbst auffrischen vom protokoll funktioniert nicht, kein connect mehr möglich ... alles was bleibt ist ausschalten und auf das nächste mal warten

#13 Moin,

Zitat

mixegl postete
[...]kein connect mehr möglich ... alles was bleibt ist ausschalten und auf das nächste mal warten

Ich hab den "großen Bruder", den 730er mit WLAN, hatte diese Probleme noch nicht. Mir scheint es auch so, als wenn die Software vom 730er etwas anders geartet ist, als vom 530er. Beim 730er hast Du unter ADSL noch den Punkt "Status" wo Du recht nette Informationen über den xDSL-Status, Leitungsdämpfung, Signalstärke etc sehen kannst. Das fehlt beim 530er völlig.

btw, hast Du ein Firmware-Update beim 530er gemacht? Sollte man machen, gibts auf der Download-Seite von der Terrorkom (oder unten auf den Link klicken :-))

Teledat 530 Firmware 1.07: Firmware-Download hier

Der 730er brauch kein update, wenn die Firmware-Version 1.05 ist, sollte das bei jemanden nicht der Fall sein, bitte auch Firmware updaten, die gibts hier

Teledat 730 Firmware 1.05: Firmware-Download hier

Warum es für den 730er kein Update auf 1.07 gibt, weiß ich nicht, der Telekom ist, wie sollte es anders sein, auch nichts weiter bekannt.

So long

Sennefer

#14 hallo,

könnte man nicht einfach die firewall komplett abschalten, um diese nervigen ausfälle zu vermeiden? wie groß ist denn da das sicherheitsrisiko?

@mixegl: hat das firmware update was gebracht?

gruß

#15 Ich habe auch, wie oben das Problem und brauche Hilfe um dieses Abzustellen, ohne die sicherheit zu gefärten.

Habe schon die Firmware 1.7 drauf.

Würde mich freuen, über eine Antwort