Toon posts:

Asus N66U laat UDP door, met alleen 1 TCP poort open? DRDoS?

Pagina: 1
Acties:

Vraag


  • JaDatIsPeter
  • Registratie: Februari 2019
  • Niet online
Mijn vraag
Waarom laat Asus N66U UDP verkeer door, terwijl alleen 1 TCP poort open staat? Of is er iets anders aan de hand?

Ik ben geen netwerk-guru en probeer te begrijpen wat er aan de hand is. Zoals Benny Hill pleegde te zeggen: "learning all the time ;-)"

Ik heb thuis een Asus RT-N66U die 1 TCP poort forward naar pfSense (pf), verder geen forwarding aangezet (in ieder geval niet bewust). In pf zie ik dat via UDP zo'n 150 keer een poging wordt gedaan te verbinden.

Hoe kan dat? Dat ik alleen TCP forward, en toch UDP pogingen ontvang?
Staat bijv. toch stiekem ergens UDP open op de N66U?
Kan bijv. een open TCP poort ook altijd voor UDP gebruikt worden?
Is het een ander apparaat in mijn thuisnetwerk? En hoe zou ik de boosdoener kunnen achterhalen?

Die pogingen worden in pf overigens keurig geblokkeerd, want daar blokkeer ik all bronadressen op een handvol na.

De source is steeds hetzelfde ipadres en dezelfde poort. Maar ik vermoed dus beide spoofed.
De destination is steeds mijn pf-systeem, de poort verschilt. Steeds zo'n 10 pogingen achter elkaar. En na elke 10 pogingen verandert de destination poort.

Mijn zorg is dat ik het nu alleen merk omdat ik toevallig die pf-machine heb opgetuigd, maar dat al mijn andere apparaten ondertussen ook belaagd worden door deze UDP pogingen? Vanaf het internet of vanaf een ander apparaat op mijn thuis netwerk.

Relevante software en hardware die ik gebruik
Asus RT-N66U, 3.0.0.4.382_52272.
pfSense 2.6.0-RELEASE (amd64).

Wat ik al gevonden of geprobeerd heb
Op de N66U:
  • UPnP staat uit.
  • Port Trigger staat uit.
  • DMZ staat uit.
  • "WAN - NAT Passthrough" staan aan voor PPTP, L2TP, IPSec, RTSP, H.323, SIP, PPPoE en FTP_ALG. Nergens kan ik daarbij een poort of destination-ip instellen. Ik neem aan dat dit over verkeer van binnen naar buiten gaat en het voor mijn vraag niet relevant is.
  • VPN server PPTP en OpenVPN staan uit.
  • Firewall staat aan.
Ik vermoed een poging tot DRDoS via UDP waarbij het afzender ipadres:poort gespoofed is. Bij AbuseIPDB staat het ipadres op hun whitelist, met als ISP "Facebook Inc." en Type "Search Engine Spider".

Alle reacties


  • SVMartin
  • Registratie: November 2005
  • Niet online
Kun je het exacte udp request posten?

En waarom zet je pfsense achter een (wat oude) Asus router?

  • JaDatIsPeter
  • Registratie: Februari 2019
  • Niet online
SVMartin schreef op zaterdag 14 januari 2023 @ 23:07:
Kun je het exacte udp request posten?
Bedoel je dit:
code:
1
2
3
Jan 14 23:51:33 pfSense filterlog[28825]: 46,,,1770009589,em0,match,block,in,4,0x0,,89,0,0,DF,17,udp,76,157.240.247.13,192.168.1.128,443,39378,56
Jan 14 23:51:13 pfSense filterlog[28825]: 46,,,1770009589,em0,match,block,in,4,0x0,,89,0,0,DF,17,udp,76,157.240.247.13,192.168.1.128,443,39378,56
Jan 14 23:51:04 pfSense filterlog[28825]: 46,,,1770009589,em0,match,block,in,4,0x0,,89,0,0,DF,17,udp,76,157.240.247.13,192.168.1.128,443,39378,56

Of kan je mij anders vertellen hoe ik dat doe in pfSense :-)

Ik heb nu de drie meest recente regels geplakt, maar als je er meer wil, laat maar horen! De waarde 1770009589 is het "Rule Tracker ID" in pfSense.
En waarom zet je pfsense achter een (wat oude) Asus router?
pfSense ben ik mee aan het experimenteren (openvpn server) en gebruik ik nu verder alleen om vlan's te maken voor mijn accesspoints, en daar dhcp voor te zijn. De N66U is samen met de mediaconverter de vervanging voor de KPN ExperiaBox, sinds ik over ben gegaan van ADSL naar glas.

[Voor 7% gewijzigd door JaDatIsPeter op 15-01-2023 13:48. Reden: Laatste zin toegevoegd over mediaconverter en experiabox. En zin over rule tracker ID toegevoegd.]


  • Thralas
  • Registratie: December 2002
  • Laatst online: 22:55
Dat lijkt me QUIC-verkeer van Facebook (zie source port 443) naar een machine achter je pfSense.

Als je je er al zorgen over moet maken dan is het omdat er legitiem verkeer geblokkeerd wordt..

  • JaDatIsPeter
  • Registratie: Februari 2019
  • Niet online
Thralas schreef op zondag 15 januari 2023 @ 18:25:
Dat lijkt me QUIC-verkeer van Facebook (zie source port 443) naar een machine achter je pfSense.
Ah dat klinkt geruststellend. Ik hoop dat dat het inderdaad is. Nu nog uitvinden welk apparaat dat is.

  • SVMartin
  • Registratie: November 2005
  • Niet online
En ik zou toch overwegen om de pfsense box aan de voorkant te zetten en de Asus alleen evt. als access point te gebruiken. Kijk ook eens of je pfsense wilt gebruiken, of opnsense (met wireguard).

  • JaDatIsPeter
  • Registratie: Februari 2019
  • Niet online
SVMartin schreef op zondag 15 januari 2023 @ 21:30:
En ik zou toch overwegen om de pfsense box aan de voorkant te zetten
Daarvoor mis ik de kennis en tijd om dat er eventjes tussendoor te doen ;-) Is wel iets op mijn verlanglijstje voor de langere termijn. Met een passief gekoelde thin client, bijv. Fujitsu Futro, met PCI-uitbreiding voor glas, zodat de mediaconverter er ook meteen tussenuit kan. Eerst maar eens ergens twee van die thin's op de kop tikken voor een leuk prijsje. Ik wil dan t.z.t. met die twee doosjes ook een site-to-site VPN maken.
pfsense wilt gebruiken, of opnsense (met wireguard).
Ben tevreden over de LTS update interval van pf, lees: niet elke maand een update. Daarbij doet opn v.z.i.w. geen single-armed, en moeten er dus twee NIC's in (of met vlan's). Wireguard (en ipsec) wordt tegengehouden op de netwerken waar ik juist van VPN gebruik wil maken. OpenVPN geeft over TCP/443 minder problemen.

  • SVMartin
  • Registratie: November 2005
  • Niet online
Wat is je reden om van de media converter af te willen?

Ik gebruik zelf een apu als hardware achter de mediabox. Draait ook pfsense:

https://www.pcengines.ch/apu2.htm

  • JaDatIsPeter
  • Registratie: Februari 2019
  • Niet online
Even een korte update. Probeer n.a.v. de tip van @Thralas te achterhalen of er een verband lijkt te zijn met een van de devices in het netwerk. Firewall log vergelijken met ntopng activiteit. Ben er niet heel handig in, dus duurt nog wel even ;-) Ik begin het idee te krijgen dat de telefoon van een dochter er wel eens wat mee te maken zou kunnen hebben. Zij dacht zelf ook nog mee en deed de suggestie dat het niet per se facebook hoeft te zijn, maar bijv. whatsapp of een ander product. To be continued..
SVMartin schreef op maandag 16 januari 2023 @ 19:42:
Wat is je reden om van de media converter af te willen?
Dat is meer, omdat het kan ;-) Maar of ik het zal doen, zal vooral afhangen of ik een voordelige adapter kan vinden. Ik heb nog een dual head 2x1gbit kaart liggen die ik eerst wil gebruiken.
Ik doe nauwelijks aan torrents en de N66U levert prima gbit snelheden. De virtuele pfSense die ik nu draai heeft ook geen moeite met het vlan (wifi) verkeer. Ik heb trouwens de wifi kanalen op 20mhz breed gezet. Snel zat hier in huis.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee