Toon posts:

DOS attacks op lokaal netwerk

Pagina: 1
Acties:

Vraag

woensdag 10 juni 2020 21:28

Acties:
  • 0 Henk 'm!
  • Webhippie
  • Registratie: Juni 2020
  • Laatst online: 13-06-2020

Webhippie

Topicstarter
Mijn vraag.
Ik heb sinds kort een nieuwe aansluiting van Ziggo en ik heb een Netgear orbi gekocht. Hier voor had ik een Zyxel, maar die werkte niet goed en startte steeds opnieuw op. In de orbi zit goeie logging en ik kwam er achter dat er heel veel DOS attacks in de logging voorkomen. Bijvoorbeeld [DoS Attack: SYN/ACK Scan] from source: 17.248.176.77, port 443, Wednesday, June 10, 2020 21:03:43 Vermoedelijk is dit ook de reden dat de Zyxel, en nu ook de orbi, regelmatig opnieuw opstarten. Ik heb alleen geen idee hoe ik dit moet aanpakken om er vanaf te komen. Er zijn een paar poorten die steeds gebruikt worden voor de DOS attacks. Deze heb ik geprobeerd te blokkeren in de orbi, maar zonder resultaat.
Zojuist zag ik ook voor het eerst de melding [DoS Attack: IP Spoofing] from source: 10.0.0.5, Wednesday, June 10, 2020 21:03:39 voorbij komen. Eerder niet gezien. Het desbetreffende apparaat met ip 10.0.0.5 is een samsung televisie.

Eerst had ik het idee dat het nieuwe ip adres wat ik van Ziggo heb gekregen een oud ip adres is van een bedrijf wat onder aanval lag en dat ik die erfenis met het ip adres had overgenomen, maar na een nieuw ip adres te hebben gekregen zijn de problemen nog aanwezig.

Ik heb geprobeerd om alle apparaten, behalve mijn laptop om zo doende de logbestanden te kunnen inzien, van het netwerk af te halen. Toen werd het aantal DOS meldingen drastisch minder. Hoe meer apparaten er aangesloten zijn, hoe meer meldingen er verschijnen.

Ik zit met mijn handen in mijn haar, want ik weet niet of mijn data in gevaar is.

Een ander punt wat ik nog zag via armor, de beveiligingssoftware die in de Netgear app zit, is dat ik daar phishing meldingen zie. Ongeveer eens per 24 uur zie ik 3 of 4 meldingen achter elkaar. De melding is de volgende: Phishing https://www.joom.test-app.link/ found on IPHONE-11
Gezien wat fishing is, snap ik deze melding niet en ik weet dus ook niet of dit een risico inhoudt.

Ik hoop dat iemand begrijpt wat er gaande is en mij kan helpen deze ellende op te lossen.

Alle reacties

woensdag 10 juni 2020 21:34

Acties:
  • 0 Henk 'm!
  • apollo13
  • Registratie: Oktober 2003
  • Laatst online: 23:51

apollo13

Worden alle aanvallen alleen maar gepleegd op port 443?
Als je die hebt openstaan en zelf niet gebruikt, disable c.q. verwijder de poortforward in je router.

apollo13

woensdag 10 juni 2020 21:42

Acties:
  • 0 Henk 'm!
  • Webhippie
  • Registratie: Juni 2020
  • Laatst online: 13-06-2020

Webhippie

Topicstarter
Er zijn een stuk of 4 poorten waar dit op gebeurt.
Er zijn geen poortforwards actief, en blokkeren in de router heeft geen effect gehad.

woensdag 10 juni 2020 21:49

Acties:
  • 0 Henk 'm!
  • Twarp
  • Registratie: Oktober 2000
  • Laatst online: 22-04 17:53

Twarp

just grin...

Een WhoIs geeft het volgende ...

IP Location United States Of America United States Of America Cupertino Apple Inc.
ASN United States Of America AS714 APPLE-ENGINEERING, US (registered Nov 30, -0001)
Whois Server whois.arin.net
IP Address 17.248.176.77
NetRange: 17.0.0.0 - 17.255.255.255
CIDR: 17.0.0.0/8
NetName: APPLE-WWNET
NetHandle: NET-17-0-0-0-1
Parent: ()
NetType: Direct Assignment
OriginAS:
Organization: Apple Inc. (APPLEC-1-Z)
RegDate: 1990-04-15
Updated: 2017-07-08
Ref: https://rdap.arin.net/registry/ip/17.0.0.0

OrgName: Apple Inc.
OrgId: APPLEC-1-Z
Address: 20400 Stevens Creek Blvd., City Center Bldg 3
City: Cupertino
StateProv: CA
PostalCode: 95014
Country: US
RegDate: 2009-12-14
Updated: 2017-07-08
Ref: https://rdap.arin.net/registry/entity/APPLEC-1-Z

OrgTechHandle: ZA42-ARIN
OrgTechName: Apple Computer Inc
OrgTechPhone: +1-408-974-7777
OrgTechEmail:
OrgTechRef: https://rdap.arin.net/registry/entity/ZA42-ARIN

OrgTechHandle: RAUSC15-ARIN
OrgTechName: Rauschenberg, David
OrgTechPhone: +1-408-974-8678
OrgTechEmail:
OrgTechRef: https://rdap.arin.net/registry/entity/RAUSC15-ARIN

OrgAbuseHandle: APPLE11-ARIN
OrgAbuseName: Apple Abuse
OrgAbusePhone: +1-408-974-7777
OrgAbuseEmail:
OrgAbuseRef: https://rdap.arin.net/registry/entity/APPLE11-ARIN

RTechHandle: RAUSC15-ARIN
RTechName: Rauschenberg, David
RTechPhone: +1-408-974-8678
RTechEmail:
RTechRef: https://rdap.arin.net/registry/entity/RAUSC15-ARIN

RTechHandle: ZA42-ARIN
RTechName: Apple Computer Inc
RTechPhone: +1-408-974-7777
RTechEmail:
RTechRef: https://rdap.arin.net/registry/entity/ZA42-ARIN

Even met Apple kletsen dan?

Meh ...

woensdag 10 juni 2020 22:44

Acties:
  • +3 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Twarp schreef op woensdag 10 juni 2020 @ 21:49:
...
Even met Apple kletsen dan?
Of concluderen dat die dos-attack bescherming next to useless is en 'm uitzetten

QnJhaGlld2FoaWV3YQ==

woensdag 10 juni 2020 22:49

Acties:
  • 0 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 07:54

DiedX

Kan je internetten? Dan is het geen ddos. Je firewall waarschuwt voor probes vanuit elk land en zijn moeder. Zolang jij niets het draaien op poort 443 is er niets aan de hand.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 10 juni 2020 22:53

Acties:
  • 0 Henk 'm!
  • kosz
  • Registratie: Juni 2001
  • Laatst online: 30-04 15:40

kosz

Heb je ziggo bridged staan of is het een false positive door dubbel NAT ? aangezien je geen portforwards hebt geconfigureerd is dit nogal vreemd

Net ff op google gezocht, schijnt wel een dingetje te zijn met netgear, of je zet DOS protection uit, of je laat het aan staan en je zet de meldingen uit.

Mijn mening, wat wil je nu bereiken met DDOS protection op je lokale aansluiting.... haalt niks uit, zeker niet met consumenten hardware... als je je daar tegen wilt beschermen doe je dit binnen je AS / upstrem provider.

[ Voor 57% gewijzigd door kosz op 10-06-2020 23:06 ]

woensdag 10 juni 2020 23:06

Acties:
  • 0 Henk 'm!
  • Teletekst
  • Registratie: Oktober 2009
  • Niet online

Teletekst

Misschien even op het Netgear forum vragen? Ik heb er ook last van, maar volgens gebruikers daar staat Netgear bekend om deze meldingen en kloppen deze waarschijnlijk niet.

Ik was zelf niet technisch genoeg om het helemaal te begrijpen maar omdat ik ook geen forwarding aan heb staan maak ik me niet te druk.

woensdag 10 juni 2020 23:06

Acties:
  • 0 Henk 'm!

Anoniem: 316512

apple-dns.net wordt zo te zien legitiem gebruikt door Apple. Hier en daar lees ik dat het door een bepaalde Apple service kan komen, maar welke het precies is weet ik niet (ik zie meerdere antwoorden, misschien zijn het ook meerdere services?)

Het zou helpen als je een logje post in plaats van een heel klein stukje. Dan is er misschien meer te vinden. Je kan ook even Wireshark starten en filteren op "ip addr 17.248.176.77" en kijken of je kan vinden of er intern nog wat mee gedaan wordt verder.

Los van dit alles: je doet blijken dat je echt een probleem ervaart. Heb je dus ook echt last van een denial of service aanval: merk je echt dat je netwerk traag is enz? Of zit je puur te kijken in je logjes. Het is vrij ongebruikelijk dat een thuisnetwerk aangevallen wordt, maar het zou natuurlijk kunnen.

woensdag 10 juni 2020 23:17

Acties:
  • 0 Henk 'm!
  • Bastiaan
  • Registratie: November 2002
  • Laatst online: 05-05 20:13

Bastiaan

Bas·ti·aan (de, m)

Heb je Apple-apparatuur? Wat gebeurt er als je die eens allemaal uitzet (of minstens van je wifi afhaalt)?

donderdag 11 juni 2020 13:57

Acties:
  • 0 Henk 'm!
  • Webhippie
  • Registratie: Juni 2020
  • Laatst online: 13-06-2020

Webhippie

Topicstarter
Het zijn meerdere IP adressen, allemaal van grote bedrijven. Ik ga er danook vanuit dat het gespoofde ip adressen zijn.

Mijn Ziggo modem staat nog in router modus.

Ik kan nog wel internetten, maar mijn router start meerdere keren per dag opnieuw spontaan op. De router van een ander merk, die ik hier voor had, deed precies het zelfde. Ik vermoed dus dat er toch een samenhang is.

Ik heb alles van apple en alles losgekoppeld. Het lijkt of het per apparaat wat gekoppeld is iets erger wordt met de meldingen.

Of de meldingen nu correct zijn of niet, mijn router start steeds op en dat moet verholpen worden.

donderdag 11 juni 2020 14:17

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 09:14

lier

MikroTik nerd

Tenzij je poorten open hebt op je Ziggo modem, anders moet je dit probleem toch echt binnen je netwerk zoeken. Het feit dat je zegt dat én je Ziggo router/modem als router fungeert én dat je het in de logging van je Orbi ziet, bevestigt mijn vermoeden.

Zou je terug naar de basis kunnen en alleen met het Ziggo router/modem kunnen testen?
En zou je na kunnen gaan of er binnen je netwerk geen geinfecteerde clients zijn?
Kan je voor de volledigheid ook eens kunnen posten hoe je alles geconfigureerd hebt? Inclusief IP ranges en dergelijke.

Eerst het probleem, dan de oplossing

donderdag 11 juni 2020 14:29

Acties:
  • 0 Henk 'm!
  • Webhippie
  • Registratie: Juni 2020
  • Laatst online: 13-06-2020

Webhippie

Topicstarter
Ik denk ook dat het binnen mijn netwerk vandaan komt. Het vreemde is dat alle clients een bijdrage lijken te leveren. Dit zou betekenen dat alle clients geinfecteerd zijn.

Ik heb een ziggo modem waar bekabeld mijn orbi aan vast zit. Verder zit in de orbi mijn tv en philips hue hub bekabeld. Draadloos zijn een aantal macs, iphones, ipads en apple tvs verbonden, een google nest en een aantal sonos producten. IP range is 10.0.0.10 - 10.0.0.254

donderdag 11 juni 2020 14:33

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 00:42

DataGhost

iPL dev

Webhippie schreef op donderdag 11 juni 2020 @ 13:57:
Het zijn meerdere IP adressen, allemaal van grote bedrijven. Ik ga er danook vanuit dat het gespoofde ip adressen zijn.

Mijn Ziggo modem staat nog in router modus.

Ik kan nog wel internetten, maar mijn router start meerdere keren per dag opnieuw spontaan op. De router van een ander merk, die ik hier voor had, deed precies het zelfde. Ik vermoed dus dat er toch een samenhang is.

Ik heb alles van apple en alles losgekoppeld. Het lijkt of het per apparaat wat gekoppeld is iets erger wordt met de meldingen.

Of de meldingen nu correct zijn of niet, mijn router start steeds op en dat moet verholpen worden.
Zijn het vaak dezelfde IP-adressen? Dat is namelijk niet logisch bij spoofing, dan kan je prima volstrekt random adressen gebruiken. Dat IP in je TS wat kennelijk van Apple is, verdwijnt die uit je logs als je alle Apple-apparaten hebt losgekoppeld? De andere grote bedrijven, zijn dat dingen als Google enz, en verdwijnen die ook als je de bijbehorende apparaten hebt afgekoppeld? Zijn er bepaalde vaste adressen die je aan bepaalde apparaten kan koppelen (door het verdwijnen ervan na het afkoppelen van een bepaald apparaat, en terugkomen bij aankoppelen)? Als je alle apparaten hebt losgekoppeld, krijg je dan nog steeds aanvallen in je logs en zo ja, welke? Ook steeds vanaf vaste IP's?

Ik ben zelf heel erg geneigd te denken dat het gewoon een pruts-logging is, allemaal false positives. Dat iets veel logt betekent niet dat het goede logging is of dat wat er gelogd is correct is. Herstarten van de apparaten zou ik ook eerder wijten aan bijv. torrentverkeer of op een andere manier gebruik van veel uitgaande verbindingen, een defect apparaat of een brak voedingsblokje. Inkomend "staat normaal dicht" dus al zou je een (D)DoS voor je kiezen krijgen zou dat normaal gesproken niet kunnen zorgen voor crashen van je apparaat omdat "zomaar" inkomende verbindingen genegeerd worden dus niet meer CPU-tijd kosten dan normaal verkeer, behoudens "foute" configuratie aan jouw kant natuurlijk. Dus de opzet van je netwerk is ook belangrijk, welke devices zitten hoe gekoppeld en wat is hun functie?

En een IP-spoof vanaf je lokale netwerk is natuurlijk helemaal onwaarschijnlijk dus ik ben reuze benieuwd waarom dat apparaat dat zou denken. De enige voorstellingen die ik me er zo even gauw bij kan maken zijn vage manieren van aansluiten waarbij ik me eigenlijk niet kan indenken dat je netwerk uberhaupt werkt.

Als je alle apparaten afkoppelt, restart de boel dan nog steeds? Nee? Dan een voor een aansluiten tot het wel weer eruit klapt.

[ Voor 9% gewijzigd door DataGhost op 11-06-2020 14:36 ]

donderdag 11 juni 2020 14:39

Acties:
  • 0 Henk 'm!

Anoniem: 316512

Webhippie schreef op donderdag 11 juni 2020 @ 13:57:
Het zijn meerdere IP adressen, allemaal van grote bedrijven. Ik ga er danook vanuit dat het gespoofde ip adressen zijn.

Mijn Ziggo modem staat nog in router modus.

Ik kan nog wel internetten, maar mijn router start meerdere keren per dag opnieuw spontaan op. De router van een ander merk, die ik hier voor had, deed precies het zelfde. Ik vermoed dus dat er toch een samenhang is.

Ik heb alles van apple en alles losgekoppeld. Het lijkt of het per apparaat wat gekoppeld is iets erger wordt met de meldingen.

Of de meldingen nu correct zijn of niet, mijn router start steeds op en dat moet verholpen worden.
Waarom ga je daar van uit? Je hebt o.a. Apple apparaten. Dat die contact willen maken met Apple services lijkt mij op zich logisch.

Ik zie wel wat bijzonders

- Je Ziggo modem staat in router modus terwijl je nog een tweede router gebruikt, ik ken de Orbi niet echt maar zo te zien biedt deze wel de functionaliteiten aan voor routing en kan je o.a. ervoor kiezen DHCP uit te schakelen.

Als je direct op de Ziggo modem bent aangesloten met bijv. je laptop en al je overige apparaten ontkoppelt, kun je dan wel gebruik maken van internet etc. zonder problemen? Ik krijg namelijk eerder het idee dat je Orbi en de Ziggo modem elkaar in de weg zitten.

donderdag 11 juni 2020 14:43

Acties:
  • 0 Henk 'm!
  • Webhippie
  • Registratie: Juni 2020
  • Laatst online: 13-06-2020

Webhippie

Topicstarter
Hier de laatste die verschenen. Soms wel dezelfde, maar kort na elkaar.
[DoS Attack: SYN/ACK Scan] from source: 52.27.215.6, port 443, Thursday, June 11, 2020 14:33:18
[DoS Attack: SYN/ACK Scan] from source: 23.37.74.87, port 443, Thursday, June 11, 2020 14:32:57
[DoS Attack: SYN/ACK Scan] from source: 54.148.186.197, port 443, Thursday, June 11, 2020 14:30:07
[DoS Attack: SYN/ACK Scan] from source: 54.149.11.161, port 443, Thursday, June 11, 2020 14:30:06
[DoS Attack: SYN/ACK Scan] from source: 88.221.144.32, port 443, Thursday, June 11, 2020 14:30:06
[DoS Attack: SYN/ACK Scan] from source: 23.46.226.49, port 443, Thursday, June 11, 2020 14:27:27
[DoS Attack: SYN/ACK Scan] from source: 46.137.181.103, port 443, Thursday, June 11, 2020 14:25:07
[DoS Attack: SYN/ACK Scan] from source: 128.65.211.162, port 443, Thursday, June 11, 2020 14:24:36
[DoS Attack: SYN/ACK Scan] from source: 104.36.195.213, port 443, Thursday, June 11, 2020 14:24:00
[DoS Attack: SYN/ACK Scan] from source: 185.151.204.7, port 443, Thursday, June 11, 2020 14:22:16
[DoS Attack: SYN/ACK Scan] from source: 2.19.245.121, port 443, Thursday, June 11, 2020 14:22:05
[DoS Attack: SYN/ACK Scan] from source: 142.250.102.109, port 993, Thursday, June 11, 2020 14:09:31
[DoS Attack: TCP/UDP Echo] from source: 84.116.46.22, port 53, Thursday, June 11, 2020 14:04:34
[DoS Attack: TCP/UDP Echo] from source: 84.116.46.23, port 53, Thursday, June 11, 2020 14:04:34
[DoS Attack: TCP/UDP Echo] from source: 84.116.46.22, port 53, Thursday, June 11, 2020 14:04:30
[DoS Attack: TCP/UDP Echo] from source: 84.116.46.23, port 53, Thursday, June 11, 2020 14:04:28
[DoS Attack: TCP/UDP Echo] from source: 84.116.46.22, port 53, Thursday, June 11, 2020 14:04:28
[DoS Attack: SYN/ACK Scan] from source: 176.32.70.83, port 9443, Thursday, June 11, 2020 13:50:38
[DoS Attack: SYN/ACK Scan] from source: 54.250.165.183, port 9443, Thursday, June 11, 2020 13:50:38
[DoS Attack: SYN/ACK Scan] from source: 176.32.70.83, port 9443, Thursday, June 11, 2020 13:50:38
[DoS Attack: SYN/ACK Scan] from source: 54.250.165.183, port 9443, Thursday, June 11, 2020 13:47:44
[DoS Attack: SYN/ACK Scan] from source: 17.253.105.201, port 443, Thursday, June 11, 2020 13:14:33
[DoS Attack: ACK Scan] from source: 52.54.101.94, port 9543, Thursday, June 11, 2020 12:03:48


Het zijn vaak ipadressen van amazon, maar ook van bedrijven als Adjust GmbH en Liberty Global Infrastructure waar ik niets mee heb voor zover ik weet.

Ik heb niet echt services op mijn netwerk draaien, ook geen servers. Alleen clients. Ik ben pas verhuisd en had deze apparatuur ook in mijn vorige woning staan zonder problemen. Het probleem komt vermoedelijk niet uit de router, want de router die ik hier voor had herstartte ook steeds.

donderdag 11 juni 2020 14:49

Acties:
  • 0 Henk 'm!
  • Remz
  • Registratie: Mei 2008
  • Laatst online: 01-05 20:08

Remz

Volgens mij zijn het gewoon false positives. Is het vooral rondom tijdstippen dat je zelf (of iemand anders) het internet veel gebruikt?

Amazon, Akamai, Liberty Global zijn allemaal CDN's en daar maak je onbewust veel gebruik van.

donderdag 11 juni 2020 15:05

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 00:42

DataGhost

iPL dev

Ziggo is bovendien van Liberty Global dus heel gek is die ook niet. De "attacks" op poort 53 zijn gewoon DNS-responses, poort 443 is https, poort 993 is IMAPS en het bijbehorende IP is van Google dus dat zal je Gmail wel zijn, 9443 ziet eruit als een alternatief voor 443 en 9543 eerlijk gezegd ook. De IP's zijn inderdaad voornamelijk van Amazon, Akamai, Google, Apple en Liberty Global, dus niet heel spannend. Ik zeg dat je probleem niet daar in zit en dat die "DoS Attack" veel te gevoelig is. Zo te zien triggert ie al op iets simpels als packetloss.

[ Voor 5% gewijzigd door DataGhost op 11-06-2020 15:06 ]

donderdag 11 juni 2020 16:07

Acties:
  • 0 Henk 'm!

Anoniem: 316512

Webhippie schreef op donderdag 11 juni 2020 @ 14:43:
Hier de laatste die verschenen. Soms wel dezelfde, maar kort na elkaar.
[DoS Attack: SYN/ACK Scan] from source: 52.27.215.6, port 443, Thursday, June 11, 2020 14:33:18
[DoS Attack: SYN/ACK Scan] from source: 23.37.74.87, port 443, Thursday, June 11, 2020 14:32:57
[DoS Attack: SYN/ACK Scan] from source: 54.148.186.197, port 443, Thursday, June 11, 2020 14:30:07
[DoS Attack: SYN/ACK Scan] from source: 54.149.11.161, port 443, Thursday, June 11, 2020 14:30:06
[DoS Attack: SYN/ACK Scan] from source: 88.221.144.32, port 443, Thursday, June 11, 2020 14:30:06
[DoS Attack: SYN/ACK Scan] from source: 23.46.226.49, port 443, Thursday, June 11, 2020 14:27:27
[DoS Attack: SYN/ACK Scan] from source: 46.137.181.103, port 443, Thursday, June 11, 2020 14:25:07
[DoS Attack: SYN/ACK Scan] from source: 128.65.211.162, port 443, Thursday, June 11, 2020 14:24:36
[DoS Attack: SYN/ACK Scan] from source: 104.36.195.213, port 443, Thursday, June 11, 2020 14:24:00
[DoS Attack: SYN/ACK Scan] from source: 185.151.204.7, port 443, Thursday, June 11, 2020 14:22:16
[DoS Attack: SYN/ACK Scan] from source: 2.19.245.121, port 443, Thursday, June 11, 2020 14:22:05
[DoS Attack: SYN/ACK Scan] from source: 142.250.102.109, port 993, Thursday, June 11, 2020 14:09:31
[DoS Attack: TCP/UDP Echo] from source: 84.116.46.22, port 53, Thursday, June 11, 2020 14:04:34
[DoS Attack: TCP/UDP Echo] from source: 84.116.46.23, port 53, Thursday, June 11, 2020 14:04:34
[DoS Attack: TCP/UDP Echo] from source: 84.116.46.22, port 53, Thursday, June 11, 2020 14:04:30
[DoS Attack: TCP/UDP Echo] from source: 84.116.46.23, port 53, Thursday, June 11, 2020 14:04:28
[DoS Attack: TCP/UDP Echo] from source: 84.116.46.22, port 53, Thursday, June 11, 2020 14:04:28
[DoS Attack: SYN/ACK Scan] from source: 176.32.70.83, port 9443, Thursday, June 11, 2020 13:50:38
[DoS Attack: SYN/ACK Scan] from source: 54.250.165.183, port 9443, Thursday, June 11, 2020 13:50:38
[DoS Attack: SYN/ACK Scan] from source: 176.32.70.83, port 9443, Thursday, June 11, 2020 13:50:38
[DoS Attack: SYN/ACK Scan] from source: 54.250.165.183, port 9443, Thursday, June 11, 2020 13:47:44
[DoS Attack: SYN/ACK Scan] from source: 17.253.105.201, port 443, Thursday, June 11, 2020 13:14:33
[DoS Attack: ACK Scan] from source: 52.54.101.94, port 9543, Thursday, June 11, 2020 12:03:48


Het zijn vaak ipadressen van amazon, maar ook van bedrijven als Adjust GmbH en Liberty Global Infrastructure waar ik niets mee heb voor zover ik weet.

Ik heb niet echt services op mijn netwerk draaien, ook geen servers. Alleen clients. Ik ben pas verhuisd en had deze apparatuur ook in mijn vorige woning staan zonder problemen. Het probleem komt vermoedelijk niet uit de router, want de router die ik hier voor had herstartte ook steeds.
Zoals al gezegd lijkt dit eigenlijk legitiem verkeer. Maar, gooi wireshark eens aan en kijk of je clients ook proberen te verbinden naar deze adressen.

En je kan het dus ook waarschijnlijk uitsluiten door direct te verbinden naar je modem. Het kost je niet veel tijd om dit te doen en zo is er zekerheid. Of gewoon DoS protectie uitzetten en kijken of je Orbi dan nog steeds vastloopt.

Dat het voorheen wel goed werkte kan bijvoorbeeld komen doordat je nu andere applicaties bent gaan gebruiken.

donderdag 11 juni 2020 17:06

Acties:
  • 0 Henk 'm!
  • EricJH
  • Registratie: November 2003
  • Laatst online: 05:40

EricJH

Ik denk dat de DoS logging trigger happy is.

Als een server laat reageert dan kan het zijn dat de Stateful Inspection van de firewall van de router concludeert dat het inkomend verkeer is dat niet in response is op een request van jouw lokaal netwerk. Ik vermoed dat dat is wat je ziet.

Ik zou je probleem inderdaad eens op de Netgear forums voorleggen zoals eerder gesuggereerd. Ik zou niet meteen van een DoS aanval uitgaan.

donderdag 11 juni 2020 20:35

Acties:
  • 0 Henk 'm!
  • Webhippie
  • Registratie: Juni 2020
  • Laatst online: 13-06-2020

Webhippie

Topicstarter
Ik heb wireshark geinstalleerd, maar krijg geen data. Enig idee wat er mis gaat?
DOS protectie uitgezet, maar herstart nog steeds met regelmaat.
Ik heb niets veranderd aan mijn netwerk, nog nieuwe apps geinstalleerd. Alleen het netwerk opnieuw opgetuigd, en met een nieuwe router. Dat is het enige verschil.

Dat het geen DOS aanval is begin ik ook wel te zien. Maar waarom start mijn router dan nog steeds opnieuw op? En vooral ook, waarom deed de zyxel die ik hier voor had dat ook?

donderdag 11 juni 2020 20:53

Acties:
  • 0 Henk 'm!
  • EricJH
  • Registratie: November 2003
  • Laatst online: 05:40

EricJH

Goede vragen. Heeft je router de laatste firmware van Netgear?

donderdag 11 juni 2020 22:43

Acties:
  • 0 Henk 'm!
  • Webhippie
  • Registratie: Juni 2020
  • Laatst online: 13-06-2020

Webhippie

Topicstarter
Ja

vrijdag 12 juni 2020 07:40

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 09:14

lier

MikroTik nerd

Heb je de Netgear inmiddels uit router modus gehaald en deze als accesspoint geconfigureerd?
Hier is de link van Netgear: https://kb.netgear.com/31...to-act-as-an-access-point

Eerst het probleem, dan de oplossing

zaterdag 13 juni 2020 16:46

Acties:
  • 0 Henk 'm!
  • Webhippie
  • Registratie: Juni 2020
  • Laatst online: 13-06-2020

Webhippie

Topicstarter
Ik heb het probleem opgelost door de netgear terug te sturen. Ik heb nu google nest wifi en die doet t uitstekend. Bedankt voor de hulp
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq