EasyBox 802 UPD Flood Stop

Dieses Thema im Forum "EasyBox (Vodafone)" wurde erstellt von Naginata, 28. Dezember 2009.

  1. Naginata

    Naginata Experte

    Registriert seit:
    8. August 2006
    Beiträge:
    380
    Punkte für Erfolge:
    0
    Hallo zusammen,

    ich habe seit einiger Zeit eine EasyBox 802 und bin damit eigentlich sehr zufrieden.
    Nur habe ich manchmal Verbindungs-Unterbrechungen durch UDP-Floods.

    Das ganze tritt nur dann auf, wenn mein Sohn den SchülerVZ-Chat benutzt, deshalb vermute ich eher eine Schwachstelle in der Firmware und keinen wirklichen Angriff :)

    Kann mir jemand einen Tip geben, wie ich in der EasyBox die UDP-Flood Kontrolle ausschalte, oder weniger aggressiv einstellen kann?

    Oder kann ich evtl. etwas an dem PC meines Sohnes ändern, das da weniger SYNC-Pakete versendet werden?

    Gruß Naginata
     
  2. Chris1

    Chris1 Super-User

    Registriert seit:
    16. März 2003
    Beiträge:
    12.178
    Punkte für Erfolge:
    0
    Hallo,

    Hab mal ein wenig gegoogelt aber keine brauchbaren Hinweise gefunden außer Router mal für ein paar Minuten vom Strom trennen, Virenscanner über den Rechner laufen lassen... siehe -hier- oder -hier-

    Bye Chris
     
  3. Naginata

    Naginata Experte

    Registriert seit:
    8. August 2006
    Beiträge:
    380
    Punkte für Erfolge:
    0
    Nein nein, das ist es nicht. Der Rechner von meinem Sohn ist nicht verseucht, da habe ich ein Auge drauf :)...

    Ich vermute, das sich dieser komische SchülerVZ-Chat ähnlich wie ein P2P-Client verhält und massenhaft SYNC-Pakete verschickt.

    Der ganze Spuck hört auf, wenn der Chat beendet ist ....

    P.S. Das mit dem googlen habe ich schon versucht, aber habe ebenfalls keine brauchbaren Hinweise gefunden, deshalb habe ich ja hier mal gepostet.
     
  4. Chris1

    Chris1 Super-User

    Registriert seit:
    16. März 2003
    Beiträge:
    12.178
    Punkte für Erfolge:
    0
    Hallo,

    Hab noch -das hier- gefunden.

    Bye Chris
     
  5. Naginata

    Naginata Experte

    Registriert seit:
    8. August 2006
    Beiträge:
    380
    Punkte für Erfolge:
    0
    Hallo,

    ja, den Artikel hatte ich auch gefunden, aber wirklich hilfreich war das nicht gerade. Da steht ja auch nur beschrieben was passiert, aber kein ordentlicher Lösungsansatz (was soll denn da in dem Zusammenhang trafic shaping ...)

    Ich habe jetzt mal an den Acror Kundenservice geschrieben und auch eine Mail an die SchülerVZ-Hilfe.
    Mal sehen ob das was bringt.

    Im Prinzip Blockt der Router ja nur alle SYN-Anfragen von aussen, die zu keiner Ihm bekannten Regel passen. Eine mögliche Lösung wäre ja eine Port-Weiterleitung der entsprechenden Ports zu dem PC meines Sohnes.
    Aber das halte ich aus Sicherheitsgründen für nicht Sinnvoll. Zusätzlich würde ich damit ja die Möglichkeit verbauen, das meine Tochter auch mal den SchülerVZ-Chat benutzen will.
    Und die Angriffserkennung meines Routers will ich deswegen auch nicht ganz abschalten müssen.

    Naja, ich werde berichten, wie es weiter geht....
     
  6. Naginata

    Naginata Experte

    Registriert seit:
    8. August 2006
    Beiträge:
    380
    Punkte für Erfolge:
    0
    Ich habe heute mit einem Arbeitskollegen gesprochen, der sich mit dieser Thematik sehr gut auskennt.

    Er hat mir geraten, die DoS-Erkennung zu deaktivieren, da sie überwiegend nur ein Marketing-Instrument sind, und keine wirklichen Vorteile bieten.

    Die Begründung konnte ich auch gut nachvollziehen:
    1. Das Ziel einer DoS-Attacke ist es, das Ziel ausser Betrieb zu setzen. Ob das nun durch die Intrusion detection geschieht, oder durch wirkliche Überlastung ist da eher unerheblich.
    2. Im Gegenteil wird die Intrusion-Detection sehr häufig zu einer falschen Entscheidung gelangen und den Router vom Netz nehmen (wie bei mir geschehen), was es dem Angreifen ja noch leichter macht.
    3. Wird ein geschickter Angreifer sich von so einer Intrusion-Detection nicht aufhalten lassen und viel eher auf Applikations-Floods setzen (FTP-Flood)
    4. Werden die Pakete ja sowieso nicht in das Lokale Netzwerk geleitet, da sie ja nicht durch das mascerading durchkommen. Und wenn sie durchkommen gibt es auf meinem PC keine Applikation die auf diesen Port etwas erwartet.

    Da ich bis jetzt nur Falsch erkannte Angriffe hatte, werde ich die DoS-Erkennung in meinem Router deaktivieren.
     

Diese Seite empfehlen