Router ziet mobiele telefoons als bedreiging en blokkeert ze

Goedemiddag beste mensen,

Ik zit met een probleem waar ik tot op heden nog geen oplossing voor gevonden heb. Ca 2 weken geleden begon mij vrouw te klagen dat ze in huis zo af en toe van het netwerk afgegooid werd (met haar mobiel). Ze moest dan het netwerk 'vergeten' en opnieuw verbinding maken en dan ging het weer. Ca een week geleden begon dit bij mijn mobiele telefoon ook. Een firmware update van de router (die was toevallig net uitgekomen) en een reboot hielpen niet. Het gebeurt alleen bij de mobiele telefoons, andere (draadloze) apparaten lijken nergens last van te hebben.

De hardware:
Router: Asus AC88U met Merlin firmware (laatste versie 382.1_2)
Mobiel van mij: Samsung Galaxy A5 (2017)
Mobiel van mijn vrouw: Samsung Galaxy A5 (2016)

Speurend in de router naar iets wat mogelijk de oorzaak zou kunnen zijn, kwam ik dit scherm tegen:



Totaal 40 hits / blokkades, waarvan dus 34x van de mobiele telefoons en 6x van mijn Nextcloud op een RPi3.
De eerste blokkade dateert van 24 november. De vraag is natuurlijk, wat gebeurt hier?

Om even met de mobiele telefoons te beginnen:
192.168.1.16 = Galaxy-A5-2016 = mobiel van mijn vrouw (Mobiel-Betina)
192.168.1.17 = android = mobiel van mij (Mobiel-Paul)

De melding is dat het steeds een 'External Attack' is, maar het gebeurt volgens mij binnen het netwerk. Onze mobiele telefoons doen kennelijk iets waar de router niet blij mee is en gooit ze van het netwerk af. Ik heb uiteraard gezocht op 'SSDP', want ik wist niet wat dat was. Wikipedia zegt dat het een soort 'Discovery protocol voor UPnP' is, waar wat dit nu precies doet snap ik niet helemaal; zover reikt mij kennis niet. Ook wordt er ook gezegd dat voor DDoS attacks gebruikt kan worden.

Ik zit met internet bij XS4All en daarbij krijg je als abonnee 5 licenties op hun F-Secure virusscanner. Ik heb deze op beide telefoons geïnstalleerd en laten scannen, maar niets gevonden.

Iemand een idee wat hier gebeurt? Is de melding van SSDP de oorzaak en kan het kwaad? En belangrijk, wat is er aan te doen? In het verleden nooit last van gehad. Kunnen de mobiele telefoons geïnfecteerd zijn met het een of ander, en hoe kom ik daar dan achter? Een (simpele) virusscan levert dus niets op.


En dan een klein zijpad; mijn Nextcloud server op een Raspberry Pi 3 is dus ook 6x aangevallen (192.168.1.34). Mijn cloud is (uiteraard) van buiten het netwerk benaderbaar, maar heeft wel een Let's encrypt certificaat erop zitten. Moet ik nog wat met deze aanvallen of valt dat onder de noemer 'dat hoort erbij en hoef je je verder geen druk over te maken'.

Alvast bedankt!

shure-fan schreef op zondag 10 december 2017 @ 14:13:
Ssdp is een protocol die boodschappen over je netwerk stuurt over "diensten" die het apparaat aan kan bieden.

Een router met usb poort zou ssdp kunnen gebruiken om binnen het netwerk aan te geven dat de usb poort beschikbaar is als opslagapparaat
Een smarttv kan via ssdp hiermee aangeven dat ie als "media weergever" gebruikt kan worden

Thralas schreef op zondag 10 december 2017 @ 15:03:
SSDP zorgt ervoor dat je telefoon 'magisch' allerlei andere apparaten in je netwerk kan vinden. Bijvoorbeeld je TV, om zo media af te kunnen spelen.

Bedankt voor de uitleg. Geen gevaarlijk of ongewenst protocol dus.

Brahiewahiewa schreef op zondag 10 december 2017 @ 14:57:
En je kunt die two-way IPS niet gewoon uitzetten?

Die optie heeft zover ik weet altijd aan gestaan, dus waarom geeft dat nu ineens problemen? Ik kan / zal het een tijdje uitzetten om te kijken of ik dan van dit probleem af ben, of dat dan blijkt dat de oorzaak ergens anders blijkt te zitten.

Thralas schreef op zondag 10 december 2017 @ 15:03:
AV op een telefoon is een wanhoopspoging van antivirusboeren om zichzelf relevant te verklaren.

Je hebt er he-le-maal niets aan. Want anders dan op een 'echte' PC kunnen ze helemaal niet 'diep' in het systeem integreren, dat laat Apple/Google niet toe.

Dat dacht ik dus eigenlijk al; had ik wel eens eerder gehoord. Maar dacht ach, kost me niets, kan geen kwaad, kan er altijd weer af. Alle opties onderzoeken

Thralas schreef op zondag 10 december 2017 @ 15:03:
Weet je zeker dat dit ook tot gevolg heeft dat je clients van het netwerk af worden gegooid?

Het lijkt me sterk dat dit zo geintegreerd is, en wat zou het ook voor nut hebben als je toch weer mag reconnecten. Ik denk dat je een ander probleem hebt (bijvoorbeeld interferentie).

Heb je dit probleem op zowel 2.4 GHz als 5 GHz? Probeer dat eerst te bepalen, desnoods door aparte 2.4/5 GHz SSIDs in te stellen op je AP.

Zet deze 'feature' van je router ook desnoods even uit en kijk of het helpt (ik vermoed van niet).

Ik begin inderdaad te twijfelen of dit het probleem / de oorzaak is. Het gebeurt dus alleen bij de mobiele telefoons. De telefoons lijken trouwens wel gewoon verbinding met het netwerk te houden, maar krijgen dan geen internet door. Kreeg gisteren ook deze melding op de Whatsapp:



Terwijl de telefoon dus nog wel met het netwerk verbonden is. Andere apparaten, zoals mijn 2 laptops (1 op 5GHz en 1 op 2.4GHz) hebben nergens last van. Verder heb ik ook nog een weerstation die 24/7 op 2.4GHz band zit, en heeft er ook geen last van.

Ik zal de Two-Way IPS functie vandaag eens uitzetten en kijken wat er gebeurt. Ook zal ik kijken met welke band de telefoons verbinding hebben.

Thralas schreef op zondag 10 december 2017 @ 15:03:
Dat hoort erbij op het internet. Belangrijker is dat je dat soort apparaten up-to-date houdt en ze liever nog enkel via een VPN beschikbaar maakt. Daar heb je veel meer aan dan een halfbakken IDS met oude rules.

OK