IP Spoofing vom Internet mit privaten IP-Adresse (Fake Adressen)
Guten Tag
Ich habe seit kurzem das Problem dass pro Sekunde 2-3 Anfragen von Privaten Adressen 10.x.x.x auf der WAN-Schnittstelle von meinem Router/Firewall verworfen werden.
Das Ziel der Pakete ist 224.0.0.5.
Aufgefallen ist mir es dadurch, dass ich Syslog aktiviert habe und der Router auf eine Synology Diskstation Meldung macht.
Bevor das "Internet" auf der Firewall landet geht es durch das ISP Modem (reines Modem)
Anfangs dachte ich es wird über Wlan versucht Angriffe durchzuführen. Alls ich diese deaktiviert hatte, die Protokollierung der verworfenen Pakete über Sylog jedoch weiter ging zog ich das Wan Kabel zwischen Modem und Firewall und voila es wahr ruhe.
Die Meldung auf Syslog:
blocked packet from 10.x.x.x to 224.0.0.5 that was received from the wrong Network Interface (ip adress spoofing)
Jetzt bin ich mir unsicher und möchte schlimmeres verhindern.
Handelt es sich um ein Angriff von aussen?
Woran kann es liegen und was kann ein Angreifer durch diese Methode bewirken ?
Wie kann ich es verhindern?
Wie kann ich herausfinden wer diese Angriffe durchführt?
Mit freundlichen Grüßen
gruss
Ich habe seit kurzem das Problem dass pro Sekunde 2-3 Anfragen von Privaten Adressen 10.x.x.x auf der WAN-Schnittstelle von meinem Router/Firewall verworfen werden.
Das Ziel der Pakete ist 224.0.0.5.
Aufgefallen ist mir es dadurch, dass ich Syslog aktiviert habe und der Router auf eine Synology Diskstation Meldung macht.
Bevor das "Internet" auf der Firewall landet geht es durch das ISP Modem (reines Modem)
Anfangs dachte ich es wird über Wlan versucht Angriffe durchzuführen. Alls ich diese deaktiviert hatte, die Protokollierung der verworfenen Pakete über Sylog jedoch weiter ging zog ich das Wan Kabel zwischen Modem und Firewall und voila es wahr ruhe.
Die Meldung auf Syslog:
blocked packet from 10.x.x.x to 224.0.0.5 that was received from the wrong Network Interface (ip adress spoofing)
Jetzt bin ich mir unsicher und möchte schlimmeres verhindern.
Handelt es sich um ein Angriff von aussen?
Woran kann es liegen und was kann ein Angreifer durch diese Methode bewirken ?
Wie kann ich es verhindern?
Wie kann ich herausfinden wer diese Angriffe durchführt?
Mit freundlichen Grüßen
gruss
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 248718
Url: https://administrator.de/contentid/248718
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
Internet routen! Kannst Du bitte einmal die ganze Adresse hier posten um ganz sicher zu gehen?
Multicast
IPv4 Multicast Address Space Registry
z.B. AVM & Fritz!Box & 7490
benutzen ISP also wer stellt den Internetzugang als Provider bei Dir.
schon daran das man Dir das auch so in die Protokolldatei hineinschreibt.
Denn es kann genau so gut eine Störung bei Deinem ISP sein oder aber ein Kunde hat
ein Gerät bei sich völlig falsch konfiguriert und nun stört es den gesamten Bereich Deines
ISPs. Eventuell hat Dein Modem auch einen weg oder es ist eben doch ein Router der falsch
konfiguriert ist.
oder eine bestimmte, wenn vorhanden, Abuse Abteilung Deines ISPs zu informieren und die
sich dann der Sache annimmt.
Man könnte mittels WireShark, TCPDUMP oder WinDUMP mal mitschneiden was
dort wirklich von wem gesendet wird, nur das zu solltest Du erst einmal die oben gestellten
Fragen beantworten, ansonsten kann man das von hier aus bzw. von uns allen aus nicht beurteilen.
Gruß
Dobby
Ich habe seit kurzem das Problem dass pro Sekunde 2-3 Anfragen von Privaten
Adressen 10.x.x.x auf der WAN-Schnittstelle von meinem Router/Firewall verworfen werden.
Das kann so nicht sein, denn die privaten IP Adressen lassen sich nicht im und durch dasAdressen 10.x.x.x auf der WAN-Schnittstelle von meinem Router/Firewall verworfen werden.
Internet routen! Kannst Du bitte einmal die ganze Adresse hier posten um ganz sicher zu gehen?
Das Ziel der Pakete ist 224.0.0.5.
OSPFMulticast
IPv4 Multicast Address Space Registry
Aufgefallen ist mir es dadurch, dass ich Syslog aktiviert habe und der Router auf
eine Synology Diskstation Meldung macht.
Okeine Synology Diskstation Meldung macht.
Bevor das "Internet" auf der Firewall landet geht es durch das ISP Modem (reines Modem)
Kannst Du bitte einmal den Herstellernamen & Modell & Modellnummer hier posten?z.B. AVM & Fritz!Box & 7490
Anfangs dachte ich es wird über Wlan versucht Angriffe durchzuführen. Alls ich diese deaktiviert
hatte, die Protokollierung der verworfenen Pakete über Sylog jedoch weiter ging zog ich das Wan
Kabel zwischen Modem und Firewall und voila es wahr ruhe.
Okhatte, die Protokollierung der verworfenen Pakete über Sylog jedoch weiter ging zog ich das Wan
Kabel zwischen Modem und Firewall und voila es wahr ruhe.
Die Meldung auf Syslog: blocked packet from 10.x.x.x to 224.0.0.5 that was received from the
wrong Network Interface (ip adress spoofing)
Um dazu etwas sagen zu können müsste man mal mehr über das "Modem" wissen und auch denwrong Network Interface (ip adress spoofing)
benutzen ISP also wer stellt den Internetzugang als Provider bei Dir.
Jetzt bin ich mir unsicher und möchte schlimmeres verhindern.
Wenn Dein Router SPI&NAT eingeschaltet hat, bist Du sicher und sehen kann man das alleineschon daran das man Dir das auch so in die Protokolldatei hineinschreibt.
Handelt es sich um ein Angriff von aussen?
Welche IP Adressen verwendet denn Dein Modem und welche IP Adressen verwendet Dein Router?Woran kann es liegen und was kann ein Angreifer durch diese Methode bewirken ?
Erst einmal muss ja sicher sein das es sich auch wirklich um einen Einbrecher handelt!Denn es kann genau so gut eine Störung bei Deinem ISP sein oder aber ein Kunde hat
ein Gerät bei sich völlig falsch konfiguriert und nun stört es den gesamten Bereich Deines
ISPs. Eventuell hat Dein Modem auch einen weg oder es ist eben doch ein Router der falsch
konfiguriert ist.
Wie kann ich es verhindern?
Gar nicht außer bei Deinem ISP den Support anzurufen und dort Deinen Fall zu schildernoder eine bestimmte, wenn vorhanden, Abuse Abteilung Deines ISPs zu informieren und die
sich dann der Sache annimmt.
Wie kann ich herausfinden wer diese Angriffe durchführt?
Du gar nicht, und erst einmal muss man sicher sein das es sich um Angriffe handelt.Man könnte mittels WireShark, TCPDUMP oder WinDUMP mal mitschneiden was
dort wirklich von wem gesendet wird, nur das zu solltest Du erst einmal die oben gestellten
Fragen beantworten, ansonsten kann man das von hier aus bzw. von uns allen aus nicht beurteilen.
Gruß
Dobby
Zitat von @108012:
Hallo,
> Ich habe seit kurzem das Problem dass pro Sekunde 2-3 Anfragen von Privaten
> Adressen 10.x.x.x auf der WAN-Schnittstelle von meinem Router/Firewall verworfen werden.
Das kann so nicht sein, denn die privaten IP Adressen lassen sich nicht im und durch das
Internet routen! Kannst Du bitte einmal die ganze Adresse hier posten um ganz sicher zu gehen?
Hallo,
> Ich habe seit kurzem das Problem dass pro Sekunde 2-3 Anfragen von Privaten
> Adressen 10.x.x.x auf der WAN-Schnittstelle von meinem Router/Firewall verworfen werden.
Das kann so nicht sein, denn die privaten IP Adressen lassen sich nicht im und durch das
Internet routen! Kannst Du bitte einmal die ganze Adresse hier posten um ganz sicher zu gehen?
Doch! Das kann sein. Wenn der Provider Bockmist gemacht hat und die RFC1918-Adressen von und zu den Kunden durchläßt.
Auch RFC1918-Adressen sind ganz normale Adressen wie alle anderen auch und werden auch genauso geroutet, wenn Filterregeln nicht verhindern, daß der Router sie durchläßt. Es gibt zwar die Vorgabe, daß diese das "private" LAN nicht verlassen sollten, aber manchmal passiert es doch. Provider verwenden für Ihre internen Netze auch RFC-1918-Netze, insbesonder das 10-er Netz, damit sie nicht Ihren knappen Adressraum anknabbern müssen. Und manche schlampen halt mal bei der Routerkonfiguration.
Zum Original-Problem des TO:
An Deinem Router kommen Pakete des Providers an, die nicht für Dich bestimmt sind, sondern für seine eigenen Router. Wenn Du diese siehst, hat der Provider vermutlich einfach nur Bockmist gebaut (oder seine Router sind gehackt. )
Mach einfach einen Filter an Deinen Router, daß er alle Pakete die von außen mit RFC-1918-Adressen als Ziel oder Quelle ankommen in die Rundablage befördert. das ist sowieso eine gute Idee, das imemr zu machen.
lks
Zitat von @DerHahntrut:
Jede der "Fake" Adressen endet mit .1 , Beispiel 10.233.120.1 oder 10.61.128.1 oder 10.59.224.1.
Und alle wollen auf 224.0.0.5. / .1 eventuell GW's für Teilnetze beim Provider?
Jede der "Fake" Adressen endet mit .1 , Beispiel 10.233.120.1 oder 10.61.128.1 oder 10.59.224.1.
Und alle wollen auf 224.0.0.5. / .1 eventuell GW's für Teilnetze beim Provider?
Das sieht mir stark nach Routern aus, die mit Ihren "Nachbarn" reden wollen.
Ich denke iks liegt richtig.
Eine wichtige Info habe ich vergessen. +- in den Tagen wo die Protokollierung angefangen hat, hatte ich zuvor ein Unterbruch der
Internetleitung und meine IP (welche die letzten 3 Jahre nie gewechselt hat obwohl dynamisch) wurde erneuert.
Daher ergibt alles Sinn von iks. Der Provider (nicht bekannt dafür, dass er gute Arbeit macht (Support/Administratives), aber
ein stabiles und leistungsfähiges Netz hat.) wird wohl im Hintergrund Geräte gewechselt oder Konfigurationen angepasst
haben.
Internetleitung und meine IP (welche die letzten 3 Jahre nie gewechselt hat obwohl dynamisch) wurde erneuert.
Daher ergibt alles Sinn von iks. Der Provider (nicht bekannt dafür, dass er gute Arbeit macht (Support/Administratives), aber
ein stabiles und leistungsfähiges Netz hat.) wird wohl im Hintergrund Geräte gewechselt oder Konfigurationen angepasst
haben.
Ist das erst kürzlich passiert? Dann ist das Szenario Routertausch und noch nicht stabile/korrekte Config sehr realistisch.
lks
Hallo,
Hört sich alles in allem nach einem nachlässig konfigurierten Provider Router an.
Ist das eine Internet Anbinudng über 3G / UMTS oder DSL?
Wenn du ewig die selbe IP hattest und mit einem Hardware wechsel diese Probleme anfange, kann es sein das andere Kunden ähnliche Probleme haben....
Da ist wirklich der Provider gefragt.. der solte ja wissen wohin er seine Netze routet...
btw.:
Die Klassen Bezeichung wurde 1993 im Rahmen der Einführung von CIDR abgeschafft...
Die Maske ist hier nur die /8 = 255.0.0.0 . Der IP Addressbereich geht von 10.0.0.0 - 10.255.255.255
brammer
Hört sich alles in allem nach einem nachlässig konfigurierten Provider Router an.
Ist das eine Internet Anbinudng über 3G / UMTS oder DSL?
Wenn du ewig die selbe IP hattest und mit einem Hardware wechsel diese Probleme anfange, kann es sein das andere Kunden ähnliche Probleme haben....
Da ist wirklich der Provider gefragt.. der solte ja wissen wohin er seine Netze routet...
btw.:
Es sind Klasse A Adressen mit Maske 10.0.0.0/8
Die Klassen Bezeichung wurde 1993 im Rahmen der Einführung von CIDR abgeschafft...
Die Maske ist hier nur die /8 = 255.0.0.0 . Der IP Addressbereich geht von 10.0.0.0 - 10.255.255.255
brammer
Eigentlich dürfen solche RFC 1918 IP Adressen niemals am WAN Port deines Kunden Routers landen. Es ist ein sicheres Indiz dafür das dein Provider hier geschlampt hat. Ggf. solltest du ihm das melden.
Alle Provider blocken strikt RFC 1918 Absender IPs in ihre Netzwerke mit ACLs, folglich dürften also solche Pakete nicht auftauchen.
Es ist auch möglich das der Provider sein Backbone selber mit RFC 1918 IPs betreibt und auch OSPF. Das ist nicht unüblich, allerdings passiviert man dann tunlichst die Kundensegmente damit dort keine OSPF Multicasts auftauchen. Vermutlich hat da dann einer beim Setup des Routers geschlampt und das vergessen.
Fazit ist das es nicht auftauchen darf !! Du solltest den Provider ggf. mal drauf hinweisen !
Wenn du ein bischen Spaß haben willst aktivier auch mal OSPF bei dir und announce ein Default Gateway via OSPF. Mit ein bischen Glück lässt sich dann der Provider Router in die Irre führen und die Kundenhotline glüht dann Da freut sich dann dein Provider....
Alle Provider blocken strikt RFC 1918 Absender IPs in ihre Netzwerke mit ACLs, folglich dürften also solche Pakete nicht auftauchen.
Es ist auch möglich das der Provider sein Backbone selber mit RFC 1918 IPs betreibt und auch OSPF. Das ist nicht unüblich, allerdings passiviert man dann tunlichst die Kundensegmente damit dort keine OSPF Multicasts auftauchen. Vermutlich hat da dann einer beim Setup des Routers geschlampt und das vergessen.
Fazit ist das es nicht auftauchen darf !! Du solltest den Provider ggf. mal drauf hinweisen !
Wenn du ein bischen Spaß haben willst aktivier auch mal OSPF bei dir und announce ein Default Gateway via OSPF. Mit ein bischen Glück lässt sich dann der Provider Router in die Irre führen und die Kundenhotline glüht dann Da freut sich dann dein Provider....
Moin,
dann kanst Du ja den Thread als gelöst abhaken.
lks
PS: Danke für's feedback. Ist nämlich nicht immer selbstversständliche, daß der TO sich die Mühe macht, das Ergebnis mitzuteilen.
dann kanst Du ja den Thread als gelöst abhaken.
lks
PS: Danke für's feedback. Ist nämlich nicht immer selbstversständliche, daß der TO sich die Mühe macht, das Ergebnis mitzuteilen.