Echo Chargen Attacke auf meinen Router

#0
16.02.2014, 13:26
...neu hier

Beiträge: 2
#1 Hallo,

ich bin Vodafone-Kunde und mein Router ist ein [url=ftp://ftp.dlink.de/di/di-524/documentation/DI-524_man_de_Manual_102.pdf]D-Link DI-524[/url].

Seit einigen Tagen lahmt meine Internetverbindung. Mein erster Verdacht war Vodafone, doch im Routerlog finden sich Warnhinweise der Firewall:

Feb 16 02:30:12 DOS [UDP]: Attack Incoming 107.170.36.173->94.221.87.95 [UDP Echo Chargen]
Feb 15 23:23:54 Firewall [ICMP]: Drop Incoming 46.130.100.239->94.220.239.45
Feb 15 22:55:15 DOS [UDP]: Attack Incoming 64.236.64.139->94.220.239.45 [UDP Echo Chargen]
Feb 15 22:37:49 Firewall [ICMP]: Drop Incoming 14.141.73.2->94.220.239.45
Feb 15 22:28:25 Firewall [ICMP]: Drop Incoming 129.82.138.44->94.220.239.45
Feb 15 22:13:06 Firewall [ICMP]: Drop Incoming 176.114.169.177->94.220.239.45
Feb 15 22:05:04 DOS [UDP]: Attack Incoming 89.248.168.94->94.220.239.45 [UDP Echo Chargen]
Feb 15 21:22:16 Firewall [ICMP]: Drop Incoming 14.141.73.2->94.220.239.45
Feb 15 16:01:37 DOS [UDP]: Attack Incoming 192.241.155.135->94.220.239.45 [UDP Echo Chargen]
Feb 15 12:21:15 DOS [UDP]: Attack Incoming 38.64.138.163->94.221.83.128 [UDP Echo Chargen]
Feb 15 10:53:59 DOS [UDP]: Attack Incoming 162.243.54.188->94.221.83.128 [UDP Echo Chargen]
Feb 15 01:18:49 DOS [UDP]: Attack Incoming 89.248.168.200->94.221.83.128 [UDP Echo Chargen]
Feb 14 18:18:24 DOS [UDP]: Attack Incoming 64.236.64.139->94.221.83.128 [UDP Echo Chargen]
Feb 14 17:48:44 DOS [UDP]: Attack Incoming 188.226.140.162->94.221.83.128 [UDP Echo Chargen]
Feb 13 12:01:52 DOS [UDP]: Attack Incoming 31.207.2.122->94.221.83.128 [UDP Echo Chargen]
Feb 13 03:00:59 DOS [UDP]: Attack Incoming 23.92.84.163->94.221.83.128 [UDP Echo Chargen]
Feb 12 16:36:06 DOS [UDP]: Attack Incoming 76.164.204.130->94.221.83.128 [UDP Echo Chargen]
Feb 12 09:10:45 DOS [UDP]: Attack Incoming 94.102.51.124->94.221.83.128 [UDP Echo Chargen]
Feb 12 09:10:10 DOS [UDP]: Attack Incoming 94.102.51.252->94.221.83.128 [UDP Echo Chargen]
Feb 11 15:03:16 DOS [UDP]: Attack Incoming 80.82.64.177->94.221.83.128 [UDP Echo Chargen]
Feb 11 14:57:56 DOS [UDP]: Attack Incoming 94.102.51.10->94.221.83.128 [UDP Echo Chargen]
Feb 11 09:28:55 DOS [UDP]: Attack Incoming 188.138.89.145->94.221.83.128 [UDP Echo Chargen]
Feb 11 04:29:26 DOS [UDP]: Attack Incoming 173.242.113.165->94.221.83.128 [UDP Echo Chargen]
Feb 10 22:41:26 DOS [UDP]: Attack Incoming 162.216.3.10->94.221.83.128 [UDP Echo Chargen]
Feb 10 20:22:33 DOS [UDP]: Attack Incoming 89.248.160.193->94.221.83.128 [UDP Echo Chargen]
Feb 10 18:08:57 DOS [UDP]: Attack Incoming 192.241.155.135->94.221.83.128 [UDP Echo Chargen]
Feb 10 07:09:47 DOS [UDP]: Attack Incoming 199.180.119.84->94.221.83.128 [UDP Echo Chargen]
Feb 9 23:02:25 DOS [UDP]: Attack Incoming 188.138.89.145->94.221.83.128 [UDP Echo Chargen]
Feb 9 09:35:32 DOS [UDP]: Attack Incoming 188.138.89.145->94.221.83.128 [UDP Echo Chargen]
Feb 8 10:02:29 DOS [UDP]: Attack Incoming 93.174.93.4->88.77.5.105 [UDP Echo Chargen]
Feb 8 06:56:13 DOS [UDP]: Attack Incoming 188.138.89.145->88.77.5.105 [UDP Echo Chargen]
Feb 7 12:38:19 DOS [UDP]: Attack Incoming 188.138.89.145->94.221.92.21 [UDP Echo Chargen]

Falls der Angriff nicht zu lange her war, konnte man unter der IP einen Webserver mit Default-Homepage ("Willkommen zu Apache auf CentOS 6.5") erreichen. Port 22 (ssh) und Port 25 (SMTP) waren ebenfalls offen.

Können diese Angriffe den Zusammenbruch der Internetverbindung erklären? Könnte das eine gezielte Attacke sein oder ist das vermutlich eher ein Script-Kiddie, das einfach mal einen IP-Range attackiert?
Habt ihr Tipps, wie ich mit vor solchen Attacken schützen kann? Manchmal scheint die Firewall die Pakete zu verwerfen, aber nur selten.

Vielen Dank und viele Grüße

Sebastian
Seitenanfang Seitenende
16.02.2014, 15:02
Member
Avatar Xeper

Beiträge: 5285
#2 Ach das erinnert mich jetzt spontan an diesen netten Artikel:
http://tech.slashdot.org/story/14/02/15/1453217/200-400-gbps-ddos-attacks-are-now-normal

Sowas ist doch jetzt wohl ganz normal... mal ganz davon zu schweigen das jetzt min. 1 SOHO Router fast jeden Tag in den News zu finden ist.
Dein Router ist einer ohne Modem? Also hast du schon einen älteren Anschluß?

Diese IPs sind alles irgendwelche Geräte (meistens Linux/POSIX) die einen NTP Server am laufen haben, zb.:

Zitat

therion@enigma ~ > host -t ptr 188.138.89.145 <15:01
145.89.138.188.in-addr.arpa domain name pointer xray907.startdedicated.com.
...
enigma therion # nmap -sU -p 123 188.138.89.145

Starting Nmap 6.25 ( http://nmap.org ) at 2014-02-16 15:02 CET
Nmap scan report for xray907.startdedicated.com (188.138.89.145)
Host is up (0.0023s latency).
PORT STATE SERVICE
123/udp open ntp
...
enigma therion # ntpdate -q 188.138.89.145
server 188.138.89.145, stratum 2, offset 151.587906, delay 0.04138
16 Feb 15:02:57 ntpdate[14998]: step time server 188.138.89.145 offset 151.587906 sec
Was man dagegen machen kann?
Gar nichts, bei dem Angriff handelt es sich um ein spezielles DDoS.
Naja den D-Link Router könntest mal gegen was ordentliches ersetzen... denke mal das es ein Zufall gewesen ist.
Dürftest ja jetzt eine neue IP haben, oder hast du eine statische IP (+ Business Vertrag)?
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Dieser Beitrag wurde am 16.02.2014 um 15:08 Uhr von Xeper editiert.
Seitenanfang Seitenende
17.02.2014, 21:05
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo,

danke für Deine Antwort. Der verlinkte Artikel ist interessant und erschreckend zugleich. Schade, dass manche Leute Spaß an soetwas haben.

Mein Router ist ohne Modem und die Leitung ist tatsächlich schon älter. Hatte den Tarif schon mehrere Jahre unter Arcor, bis Vodafone Arcor übernommen hat. Ich kriege alle 24h eine neue IP oder on-demand im Router. Dennoch ändert das nichts an der Häufigkeit der Attacken. In der letzten Stunde waren wieder drei neue Einträge im Log.

Viele Grüße
Seitenanfang Seitenende
18.02.2014, 02:42
Member
Avatar Xeper

Beiträge: 5285
#4 Dann musst du davon ausgehen das einer deiner Geräte oder der Router selber kompromitiert ist, der Angreifer (wer auch immer) ist anscheinend über deine IP informiert.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
18.02.2014, 08:05
Moderator
Avatar hevtig

Beiträge: 2298
#5 Hier noch eine relativ aktuelle Meldung zu deinem Router.
LINK.
Vielleicht spielst du erst einmal die aktuelle Firmware für deinen Router ein. Evtl. löst das ja schon dein Problem.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
18.02.2014, 18:45
Member
Avatar Xeper

Beiträge: 5285
#6

Zitat

HeVTiG postete
Hier noch eine relativ aktuelle Meldung zu deinem Router.
LINK.
Vielleicht spielst du erst einmal die aktuelle Firmware für deinen Router ein. Evtl. löst das ja schon dein Problem.
Ja es fing irgendwann vor 1-2 Jahren bei diversen Industrieanlagen an, aber mittlerweile sind wir ja bei den SOHO Routern angekommen - die sind nun täglich in den negativen Neuigkeiten der IT Welt.
Diverse Firmen wurden mehrmals darauf hingewiesen, dass war schon etwas länger bekannt - ich will da keine diskreditieren... es ist auch genau der Grund warum ich privat jedem davon abgeraten habe diese Geräte einzusetzen.
Das Problem ist nur leider das es für den Otto Normalverbraucher ja keine Alternativen gibt... (im Land von Router Zwang & co).
Jetzt gibts mal wieder nur noch Schadensbegrenzung, aber besser als nichts - mittlerweile ist die Allgemeinheit ja doch etwas sensebilisierter als früher (dank allem was schon passiert ist).
Es ist nun mal so das sich ein Großteil des Lebens digital abspielt, zweckgemäß betrifft das eigentlich jeden.

Ich empfehle immer wieder gern TP-Link die sind sehr gut im Preis-/Leistungsverhältnis im Gegensatz zu irgendwelchen sündhaft hochgelobten Geräten die aber Implementationstechnisch gruselig sind.
Fazit ist genau wie HeVTiG sagte, jeder sollte nun mal überprüfen ob er betroffen ist und wenigstens ab und zu die IT News verfolgen... ;)
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: