LAND Attacke und IP-Spoofing, wann wird es kritisch?

[rechnerteam]

Moin!

Hardware: KabelModem ubeee 2200-->Router D-Link DIR 655-->2 Macs, ein NAS (QNAP)

Seit einigen Monaten haben wir jemanden an den Hacken, der Ärger machen will. So schätzte es der Techniker von KabelDeutschland vor Ort ein ("Da will Sie jemand ärgern"), aufgrund dieser Meldungen im Router Logfile:

[INFO]Blockierte ankommende TCP Verbindungsaufforderung  von 77.23.42.170:64356 nach 77.23.42.170:80

Das Thema ist hier zu finden.

Irgendwie bin ich derzeit nicht fit genug, um den Fehler beim Sniffen des Netzwerkverkehrs zwischen Kabelmodem und Router mit Wireshark zu finden. Also habe ich es wieder sein lassen.

Als ich heute das letzte Router Logfile überflogen habe, war da doch etwas zu viel los. Nun herrscht hier die allgemeine Verunsicherung.
Es ist voll mit Meldungen über LAND Attacken, Beispiel:

[WARN] Blockiertes Paket von 77.23.42.170 bis 77.23.42.170 (LAND Attack)

und IP adress spoofing, Beispiel:

[INFO] Tue Jan 08 17:27:42 2013 Blocked packet from 192.168.0.20 to 192.168.0.255 that was received from the wrong network interface (IP address spoofing)   
[INFO] Tue Jan 08 17:15:41 2013 Die obige Meldung wurde 17-mal wiederholt.   
[INFO] Tue Jan 08 17:14:48 2013 Blocked packet from 192.168.0.20 to 224.0.0.251 that was received from the wrong network interface (IP address spoofing)   
[INFO] Tue Jan 08 17:09:42 2013 Blocked packet from 192.168.0.20 to 192.168.0.255 that was received from the wrong network interface (IP address spoofing)   
[INFO] Tue Jan 08 17:03:41 2013 Die obige Meldung wurde 11-mal wiederholt.

Die IP 192.168.0.20 gibt es hier nicht.

Einen guten Hacker bemerkt man nicht. Sollte ich etwas unternehmen oder reicht es, den Router sorgfältig zu konfigurieren? Worauf sollte ich achten? UPNP ist aus, Freigaben auch. Das sollte doch reichen, oder?

Hinter das Modem von Kabel Deutschland kommt der "Angreifer"(Wie nennt man jemanden, der solche Meldungen auslöst? Hacker, Script-Kiddie, Angreifer?), siehe Spoofing-Meldungen.

Ist nun der Punkt ereicht, an dem der ISP zuständig ist? Denn angeblich sind die Kabelmodems ja so sicher, dass man sich keine Gedanken machen machen muss. Aha. Das ist eindeutg widerlegt und ich finde auch Zugriffsversuche auf den Router zu Zeiten, wo keiner zuhause war.

Danke schon mal
rechnerteam

 

[Hausbesetzer]

Sind die DLINK Router nicht die, die man über ne URL dazu bringen kann, zu tun was man will?
Aktualisiere die Firmware vom Router, ändere alle Passwörter und Ruhe ist.

Und: Die "Techniker" die mit Endkunden reden sind meist die, die am wenigsten Ahnung haben.
Je mehr Ahnung ein "Techniker" von ISPs haben, desto weniger Endkundenkontakt bekommen die.

 

[italien01234]

Gegenangriff starten

Wenn er versucht in dein Netz zu kommen kannst du auch leichter auf seine Kiste kommen.

 

[rechnerteam]

Die Firmware des Routers ist grundsätzlich aktuell und Passwörter werden turnusmäßig geändert. Fernsteuerung über eine URL, hast Du dazu eine Quelle?

Der Techniker hatte schon Ahnung, weil sein Angestellter nicht weiter wusste, musste er ran. So pauschal zu urteilen ist vorschnell.

 

[Hausbesetzer]

http://www.heise.de/security/meldung/D-Link-schliesst-hochkritische-Router-Luecken-1799260.html

Der Techniker hat einen Angestellten?

 

[rechnerteam]

Der Techniker hat einen Angestellten?

Noch besser, es war der Cheftechniker. Nein im Ernst, die Hausanlage hatte einen Defekt. Es hieß, irgendwo würde ein defektes Gerät oder eine defekte Dose betrieben, was zu Störungen bei den anderen Abnehmern führen würde.
Unsere Wohnung war einer der Hauptmesspunkte. Die Dose wurde auch getauscht, eine Woche danach war das Modem tot. Der fieberhaft gesuchte Kabelfehler war nicht im, sondern vor dem Haus. Da kam der Muffen-Mann .

Jedenfalls wurden alle Unregelmäßigkeiten geprüft, da KDG wohl kein drittes Mal die Anlage erneuern wollte. Und die Menschen, die sich mit den Fehlern befasst haben, machten nicht den Eindruck, sie würden auf Hotline-Niveau arbeiten. Da war Kompetenz vorhanden.

Danke für den Link, das habe ich mitbekommen. Inzwischen wurde festgestellt, dass viele Router Sicherheitslücken aufweisen, siehe diese Heise-Meldung.

Die Reaktion von D-Link sollte aber zu denken geben. Ich denke über einen anderen Router nach. So was geht ja gar nicht, auch oder eher weil es sich um weit verbreitete Consumer-Ware handelt.

 

[Pingu]

IP adress spoofing, Beispiel:

[INFO] Tue Jan 08 17:27:42 2013 Blocked packet from 192.168.0.20 to 192.168.0.255 that was received from the wrong network interface (IP address spoofing)   
[INFO] Tue Jan 08 17:15:41 2013 Die obige Meldung wurde 17-mal wiederholt.   
[INFO] Tue Jan 08 17:14:48 2013 Blocked packet from 192.168.0.20 to 224.0.0.251 that was received from the wrong network interface (IP address spoofing)   
[INFO] Tue Jan 08 17:09:42 2013 Blocked packet from 192.168.0.20 to 192.168.0.255 that was received from the wrong network interface (IP address spoofing)   
[INFO] Tue Jan 08 17:03:41 2013 Die obige Meldung wurde 11-mal wiederholt.

Die IP 192.168.0.20 gibt es hier nicht.

Einen guten Hacker bemerkt man nicht. Sollte ich etwas unternehmen oder reicht es, den Router sorgfältig zu konfigurieren? Worauf sollte ich achten? UPNP ist aus, Freigaben auch. Das sollte doch reichen, oder?

Sorry, dass muss kein IP-Spoofing oder so sein. Das Erste (192.168.0.255) ist eine ganz normale Broadcast-Anfrage und das andere (224.0.0.251) ist eine Anycast-Anfrage von Bonjour <http://de.wikipedia.org/wiki/Zeroconf>. Da hängt wohl einfach ein Gerät am falschen Port. Entweder es ist intern ein Gerät, welches Du noch nicht auf dem Kiecker hast (iPhone, ...) oder ein Nachbar hat einfach seinen Rechner direkt über das Modem betrieben.

Gerade beim Bonjour-Advertisement sollte sich sogar herausfinden lassen wer das ist. Denn der Name ist im Bonjour-Advertisement enthalten. Einfach auf dem Interface ein tcpdump mitlaufen lassen.

 

[Hausbesetzer]

So was geht ja gar nicht, auch oder eher weil es sich um weit verbreitete Consumer-Ware handelt.

Gute Router kosten halt.

Und ich glaube nicht, dass der Typ, der Hardware kann, viel Ahnung von Software hat, wenn er denkt, dass die Broadcast Adresse Dich angreift

 

[rechnerteam]

Hallo Pingu,

danke für Deine Antwort. Nur gibt es hier in der Wohnung kein Gerät, dass ich nicht kenne. Das Modem ist in einem separaten Raum, da kann kein Nachbar dran, ohne einzubrechen.
Ich lasse jetzt für einige Tage nur einen Mini laufen. Auch den NAS werde ich für ein paar Tage vom Netz nehmen. Mal schauen, wie das Logfile dann aussieht.

Hier läuft ein reines LAN, WLAN habe ich im Router deaktiviert, die Antennen liegen im Karton. Wer sich im LAN mit dem Router verbinden will, den kenne ich (hoffentlich, denn so ist es vorgesehen).

tcpdump kann ich doch einfach aus dem Terminal heraus starten, oder? Oder ist Wireshark komfortabler, wenn es um die Auswertung geht? (Ehrlich gesagt bin ich gerade krank, was mir Zeit für solche Aktionen verschafft, aber die Konzentration und Lernfähigkeit leidet.)

 

[rechnerteam]

Die Aussage, dass mich jemand ärgern will, bezog sich auf diese Einträge

[INFO]Blockierte ankommende TCP Verbindungsaufforderung  von 77.23.42.170:64356 nach 77.23.42.170:80

Damit sind die Logfiles voll und ich würde gern einfach nur verstehen, wie so etwas zustande kommt.

Da waren sowohl Leute für Hard- als auch Softwareware an der Fehlersuche beteiligt. Wenn Du mir die Fähigkeit absprechen möchtest, ob ich so etwas beurteilen kann, dann musst Du das tun.

Die Klassifizierung als IP adress spoofing habe ich aus dem Router Logfile übernommen, so wie diese.

Blocked packet from 83.169.162.126 to 255.255.255.255 that was received from the wrong network interface (IP address spoofing)

Was glaubst Du, warum ich frage? Wenn ich mir das erklären könnte und/oder schlüssige Antworten bekommen hätte, würde ich doch keinen Thread aufmachen.

 

[Pingu]

An Dein Modem muss auch niemand ran. Bei Kabel sind alle Teilnehmer in einem eigenen privaten Netz zusammen geschlossen bevor es in die große weite Welt hinaus geht.

Kommt darauf an. tcpdump geht schneller und kann die Nachrichten auch interpretieren. Ein tcpdump -vvvvns0 host 224.0.0.251 und dann warten ist halt schnell gemacht.

 

[Hausbesetzer]

Die Aussage, dass mich jemand ärgern will, bezog sich auf diese Einträge

[INFO]Blockierte ankommende TCP Verbindungsaufforderung  von 77.23.42.170:64356 nach 77.23.42.170:80

Damit sind die Logfiles voll und ich würde gern einfach nur verstehen, wie so etwas zustande kommt.

Das ist ein normaler Scan von aussen.
Willkommen im Internet, das passiert andauernd überall und immer.

 

[Olivetti]

Sicher nicht, wenn es seine WAN-IP ist.

Wenn es seine WAN-IP ist, dann kann es sich um eine Auswirkung einer vorhergehenden Land-Attacke handeln.
Und es erklärt auch, warum sein Router nur noch hängt und röchelt.

@rechnerteam: Seit wann hast du denn die Land-Attack-Warnings im Log?
Im anderen Thread hast du die ja nicht erwähnt.

 

[Hausbesetzer]

77.23.42.170 bist Du.

 

[Olivetti]

Kann auch einer der Kabelstrangnachbarn sein (KD ist es jedenfalls).

Das ist das Schwierige, von rechnerteam wird nicht alles beantwortet.

 

[rechnerteam]

Hallo,
doch rechnerteam möchte alles beantworten. Unbedingt!

Nur muss ich zwischendurch eine Pause einlegen.

An Dein Modem muss auch niemand ran. Bei Kabel sind alle Teilnehmer in einem eigenen privaten Netz zusammen geschlossen bevor es in die große weite Welt hinaus geht.

Das hatte ich im anderen Thread geschrieben, aber hier nicht, sorry. Ich habe eine Vermutung, wer das sein könnte. (Aber wenn man so etwas im falschen Moment schreibt, ist man paranoid und der Thread ist tot.)

Kann auch einer der Kabelstrangnachbarn sein (KD ist es jedenfalls).

Das vermute ich, es gibt auber noch jemanden außerhalb der hausanlage( 60 Abnehmer, KabelDeutschland)

Sicher nicht, wenn es seine WAN-IP ist.

Ja, das ist meine WAN-IP. Das ist ja das absurde.

Seit wann hast du denn die Land-Attack-Warnings im Log?

Seit dem 07.Januar 2013, vorher wurden wir "nur" mit diesen rätselhaften Anfragen zugeballert, bis der Router das (oder die?) Lease verloren hat.

Oder es erschienen diese IP adress spoofing Meldungen. Seit ich eine abuse-Meldung abgesetzt habe, erscheinen die nur noch mit LAN IPs.

Nachdem das Modem ausgetauscht wurde, war für etwa zwei Wochen Ruhe, aber seit diesem jahr, besonders seit letzter Woche scheint ein Wettbewerb stattzufinden.

Nach einem Wechsel der WAN-IP findet sich immer mindestens eine spoofing Meldung und das Logfile ist voll mit Verbindungsanfragen von der eigenen WAN-IP. Nun kommen die LAND Attacken hinzu.

@olivetti: Welche Fragen habe ich offen gelassen? Das finde ich nämlich gar nicht schön.

Edit:Ich habe mal nach Mustern geschaut: Das einzige Muster, das ich erkennen kann ist, dass die Verbindungsanfrage von einem Highport kommt und immer an Port 80 gerichtet ist.

 

[Olivetti]

Z.B. ob du das Modem abgeklemmt hast (im anderen Thread - den ich eh zusammenlegen lassen würde).

Hast du für deinen Router vor kurzem ein Firmwareupdate eingespielt?
Das würde erklären, warum die Warnings erst seit dem 7.1. auftauchen.

60 Teilnehmer am Kabel, da wundert mich nix. Da brauchts keinen von Ausserhalb,
und das willst du sicher erstmal ausschliessen.
Du darfst auch nicht vergessen, evtl. ist es ein verseuchter Rechner innerhalb der Hausanlage.
Da muss kein Vorsatz dahinter stecken.

Die abuse-Message ging mit konkreter/n IP-Adresse/n an KD?
Und seitdem kommen nur noch 192.168er?

Könntest du ein Router-logfile eines kompletten Tages reinstellen (IP-Wechsel zu IP-Wechsel inkl.).
Welche IPs haben Router/NAS/Macs?
DHCP oder fest?
WLAN ist aus.

Und ganz wichtig: Hast du im Router DynDNS eingerichtet?
(Weil: Hatte der Ausserhaus-Verdächtige mal Einblick oder Kenntnis deiner DynDNS-Adresse?)

 

[digitalnative]

Tut mir leid, wenn ich hier so reinplatze, auch habe ich nur wenig Ahnung davon. Aber als bei mir letztens irgendwelche Portscans am Router aufgetaucht sind, habe ich diesen einfach neu gestartet, mir wurde dann eine neue IP zugeteilt und der Spuk war vorbei.

So simpel ist es an deinem Kabelanschluss wohl nicht, oder?

 

[Olivetti]

nach einem wechsel der wan-ip findet sich immer mindestens eine spoofing meldung und das logfile ist voll mit verbindungsanfragen von der eigenen wan-ip. Nun kommen die land attacken hinzu.

so simpel ist es an deinem kabelanschluss wohl nicht, oder?

nö.

 

[rechnerteam]

Z.B. ob du das Modem abgeklemmt hast

Habe ich geschrieben, ist wohl im Text untergegangen:
Die Meldungen, um die es hier geht, erscheinen nicht, wenn der Router vom Modem getrennt wird. Das Logfile sieht in der Zeit gut aus, es steht nur drin, was ich erwartet habe.

Hast du für deinen Router vor kurzem ein Firmwareupdate eingespielt?

Nein, denn es gibt meines Wissens keine neue Firmware. Aber ich schaue gleich nochmal nach.

Du darfst auch nicht vergessen, evtl. ist es ein verseuchter Rechner innerhalb der Hausanlage.
Da muss kein Vorsatz dahinter stecken.

Das wäre mir die liebste Ursache.

Die abuse-Message ging mit konkreter/n IP-Adresse/n an KD?
Und seitdem kommen nur noch 192.168er?

Genau so ist es.

Könntest du ein Router-logfile eines kompletten Tages reinstellen (IP-Wechsel zu IP-Wechsel).

Ungern, wäre eine PN okay? Oder ich muss ein bisschen nachbearbeiten.

Welche IPs haben Router/NAS/Macs?
DHCP oder fest?

Der Router hat die 192.168.01, NAS 192.168.0.155, die Macs 192.168.0.198 und 199. Es liegen keine Adresskonflikte vor. Zwischendurch habe ich die IPs verändert.

Die IPs sind per DHCP zugewiesen und wurden dann für das jeweilige Gerät reserviert.

Und ganz wichtig: Hast du im Router DynDNS eingerichtet?

Nein, das habe ich aber schon mehr als einmal geschrieben.
Der/das NAS telefoniert ungefragt mit http://www.mycloudnas.com/geoip/getMyGeoIP.php, das habe ich im Router unterbunden. Im NAS finde ich dazu keine Option.

Wie gesagt, es gibt keine dynDNS-Adresse und die Optionen sind alle bewusst deaktiviert.