derhahntrut
Goto Top

IP Spoofing vom Internet mit privaten IP-Adresse (Fake Adressen)

Guten Tag

Ich habe seit kurzem das Problem dass pro Sekunde 2-3 Anfragen von Privaten Adressen 10.x.x.x auf der WAN-Schnittstelle von meinem Router/Firewall verworfen werden.
Das Ziel der Pakete ist 224.0.0.5.
Aufgefallen ist mir es dadurch, dass ich Syslog aktiviert habe und der Router auf eine Synology Diskstation Meldung macht.
Bevor das "Internet" auf der Firewall landet geht es durch das ISP Modem (reines Modem)
Anfangs dachte ich es wird über Wlan versucht Angriffe durchzuführen. Alls ich diese deaktiviert hatte, die Protokollierung der verworfenen Pakete über Sylog jedoch weiter ging zog ich das Wan Kabel zwischen Modem und Firewall und voila es wahr ruhe.

Die Meldung auf Syslog:
blocked packet from 10.x.x.x to 224.0.0.5 that was received from the wrong Network Interface (ip adress spoofing)

Jetzt bin ich mir unsicher und möchte schlimmeres verhindern.


Handelt es sich um ein Angriff von aussen?
Woran kann es liegen und was kann ein Angreifer durch diese Methode bewirken ?
Wie kann ich es verhindern?
Wie kann ich herausfinden wer diese Angriffe durchführt?


Mit freundlichen Grüßen

gruss

Content-ID: 248718

Url: https://administrator.de/contentid/248718

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

medikopter
medikopter 10.09.2014 um 01:54:51 Uhr
Goto Top
Das ist wenn ich mich nicht irre die Multicast Adresse von Routern

Hier die info dazu

Geb mal bei google "igmp OSPF allspf router" ein da wist du fündig

Kann dir leider keinen link reinstellen, da mein Handy das leider nicht reinkopiert.
108012
108012 10.09.2014 um 03:02:43 Uhr
Goto Top
Hallo,

Ich habe seit kurzem das Problem dass pro Sekunde 2-3 Anfragen von Privaten
Adressen 10.x.x.x auf der WAN-Schnittstelle von meinem Router/Firewall verworfen werden.
Das kann so nicht sein, denn die privaten IP Adressen lassen sich nicht im und durch das
Internet routen! Kannst Du bitte einmal die ganze Adresse hier posten um ganz sicher zu gehen?

Das Ziel der Pakete ist 224.0.0.5.
OSPF
Multicast
IPv4 Multicast Address Space Registry

Aufgefallen ist mir es dadurch, dass ich Syslog aktiviert habe und der Router auf
eine Synology Diskstation Meldung macht.
Ok

Bevor das "Internet" auf der Firewall landet geht es durch das ISP Modem (reines Modem)
Kannst Du bitte einmal den Herstellernamen & Modell & Modellnummer hier posten?
z.B. AVM & Fritz!Box & 7490

Anfangs dachte ich es wird über Wlan versucht Angriffe durchzuführen. Alls ich diese deaktiviert
hatte, die Protokollierung der verworfenen Pakete über Sylog jedoch weiter ging zog ich das Wan
Kabel zwischen Modem und Firewall und voila es wahr ruhe.
Ok

Die Meldung auf Syslog: blocked packet from 10.x.x.x to 224.0.0.5 that was received from the
wrong Network Interface (ip adress spoofing)
Um dazu etwas sagen zu können müsste man mal mehr über das "Modem" wissen und auch den
benutzen ISP also wer stellt den Internetzugang als Provider bei Dir.

Jetzt bin ich mir unsicher und möchte schlimmeres verhindern.
Wenn Dein Router SPI&NAT eingeschaltet hat, bist Du sicher und sehen kann man das alleine
schon daran das man Dir das auch so in die Protokolldatei hineinschreibt.

Handelt es sich um ein Angriff von aussen?
Welche IP Adressen verwendet denn Dein Modem und welche IP Adressen verwendet Dein Router?

Woran kann es liegen und was kann ein Angreifer durch diese Methode bewirken ?
Erst einmal muss ja sicher sein das es sich auch wirklich um einen Einbrecher handelt!
Denn es kann genau so gut eine Störung bei Deinem ISP sein oder aber ein Kunde hat
ein Gerät bei sich völlig falsch konfiguriert und nun stört es den gesamten Bereich Deines
ISPs. Eventuell hat Dein Modem auch einen weg oder es ist eben doch ein Router der falsch
konfiguriert ist.

Wie kann ich es verhindern?
Gar nicht außer bei Deinem ISP den Support anzurufen und dort Deinen Fall zu schildern
oder eine bestimmte, wenn vorhanden, Abuse Abteilung Deines ISPs zu informieren und die
sich dann der Sache annimmt.

Wie kann ich herausfinden wer diese Angriffe durchführt?
Du gar nicht, und erst einmal muss man sicher sein das es sich um Angriffe handelt.
Man könnte mittels WireShark, TCPDUMP oder WinDUMP mal mitschneiden was
dort wirklich von wem gesendet wird, nur das zu solltest Du erst einmal die oben gestellten
Fragen beantworten, ansonsten kann man das von hier aus bzw. von uns allen aus nicht beurteilen.

Gruß
Dobby
Lochkartenstanzer
Lösung Lochkartenstanzer 10.09.2014, aktualisiert am 17.10.2014 um 12:54:20 Uhr
Goto Top
Zitat von @108012:

Hallo,

> Ich habe seit kurzem das Problem dass pro Sekunde 2-3 Anfragen von Privaten
> Adressen 10.x.x.x auf der WAN-Schnittstelle von meinem Router/Firewall verworfen werden.
Das kann so nicht sein, denn die privaten IP Adressen lassen sich nicht im und durch das
Internet routen! Kannst Du bitte einmal die ganze Adresse hier posten um ganz sicher zu gehen?

Doch! Das kann sein. Wenn der Provider Bockmist gemacht hat und die RFC1918-Adressen von und zu den Kunden durchläßt.

Auch RFC1918-Adressen sind ganz normale Adressen wie alle anderen auch und werden auch genauso geroutet, wenn Filterregeln nicht verhindern, daß der Router sie durchläßt. Es gibt zwar die Vorgabe, daß diese das "private" LAN nicht verlassen sollten, aber manchmal passiert es doch. Provider verwenden für Ihre internen Netze auch RFC-1918-Netze, insbesonder das 10-er Netz, damit sie nicht Ihren knappen Adressraum anknabbern müssen. Und manche schlampen halt mal bei der Routerkonfiguration.

Zum Original-Problem des TO:

An Deinem Router kommen Pakete des Providers an, die nicht für Dich bestimmt sind, sondern für seine eigenen Router. Wenn Du diese siehst, hat der Provider vermutlich einfach nur Bockmist gebaut (oder seine Router sind gehackt. face-smile)

Mach einfach einen Filter an Deinen Router, daß er alle Pakete die von außen mit RFC-1918-Adressen als Ziel oder Quelle ankommen in die Rundablage befördert. das ist sowieso eine gute Idee, das imemr zu machen.

lks
DerHahntrut
DerHahntrut 10.09.2014 um 13:39:34 Uhr
Goto Top
Um die IP Adressen von welchen die Anfragen/Pakete kommen zu konkretisieren:

Es sind Klasse A Adressen mit Maske 10.0.0.0/8
Es sind ca 10 verschiedene, kommen aber immer wieder die Selben vor.
Jede der "Fake" Adressen endet mit .1 , Beispiel 10.233.120.1 oder 10.61.128.1 oder 10.59.224.1.
Und alle wollen auf 224.0.0.5. / .1 eventuell GW's für Teilnetze beim Provider?

Ich hatte bereits Kontakt mit dem ISP, der möchte bevor er mir helfen wolle, meine Kundennummer haben(als ob ich diese ständig bei mir trage und nie das Haus verlasse!)
Starte einen weiteren Versuch wenn Zeit und unter Dach ;)

Ich denke iks liegt richtig.

Eine wichtige Info habe ich vergessen. +- in den Tagen wo die Protokollierung angefangen hat, hatte ich zuvor ein Unterbruch der Internetleitung und meine IP (welche die letzten 3 Jahre nie gewechselt hat obwohl dynamisch) wurde erneuert.

Daher ergibt alles Sinn von iks. Der Provider (nicht bekannt dafür, dass er gute Arbeit macht (Support/Administratives), aber ein stabiles und leistungsfähiges Netz hat.) wird wohl im Hintergrund Geräte gewechselt oder Konfigurationen angepasst haben.

Ich warte noch das Gespräch mit dem Support ab, bevor ich hier als gelöst markiere.

Vielen, Vielen Dank an die Hilfsbereiten.
Lochkartenstanzer
Lochkartenstanzer 10.09.2014 um 15:27:58 Uhr
Goto Top
Zitat von @DerHahntrut:

Jede der "Fake" Adressen endet mit .1 , Beispiel 10.233.120.1 oder 10.61.128.1 oder 10.59.224.1.
Und alle wollen auf 224.0.0.5. / .1 eventuell GW's für Teilnetze beim Provider?

Das sieht mir stark nach Routern aus, die mit Ihren "Nachbarn" reden wollen.

Ich denke iks liegt richtig.

face-smile

Eine wichtige Info habe ich vergessen. +- in den Tagen wo die Protokollierung angefangen hat, hatte ich zuvor ein Unterbruch der
Internetleitung und meine IP (welche die letzten 3 Jahre nie gewechselt hat obwohl dynamisch) wurde erneuert.

Daher ergibt alles Sinn von iks. Der Provider (nicht bekannt dafür, dass er gute Arbeit macht (Support/Administratives), aber
ein stabiles und leistungsfähiges Netz hat.) wird wohl im Hintergrund Geräte gewechselt oder Konfigurationen angepasst
haben.

Ist das erst kürzlich passiert? Dann ist das Szenario Routertausch und noch nicht stabile/korrekte Config sehr realistisch.


lks
DerHahntrut
DerHahntrut 10.09.2014 um 15:41:20 Uhr
Goto Top
Ja ca vor 2wochen/ende august. Und in etwa zeitgleich (möchte mich jetz nicht durch 2000seiten log einträge wühlen, fing auch die protokollierung an. Innerhalb 2wochen 1gb logfile;)

Ich schaue zuhause nach ob der protokollierte ausfall, sich mitem start der protokollierten anfragen deckt, und melde mich nochmal.


Auf mobile getippt.
Mfg
brammer
brammer 10.09.2014 um 16:35:22 Uhr
Goto Top
Hallo,

Hört sich alles in allem nach einem nachlässig konfigurierten Provider Router an.

Ist das eine Internet Anbinudng über 3G / UMTS oder DSL?
Wenn du ewig die selbe IP hattest und mit einem Hardware wechsel diese Probleme anfange, kann es sein das andere Kunden ähnliche Probleme haben....

Da ist wirklich der Provider gefragt.. der solte ja wissen wohin er seine Netze routet...

btw.:

Es sind Klasse A Adressen mit Maske 10.0.0.0/8

Die Klassen Bezeichung wurde 1993 im Rahmen der Einführung von CIDR abgeschafft...
Die Maske ist hier nur die /8 = 255.0.0.0 . Der IP Addressbereich geht von 10.0.0.0 - 10.255.255.255

brammer
aqui
aqui 10.09.2014 um 16:46:54 Uhr
Goto Top
Eigentlich dürfen solche RFC 1918 IP Adressen niemals am WAN Port deines Kunden Routers landen. Es ist ein sicheres Indiz dafür das dein Provider hier geschlampt hat. Ggf. solltest du ihm das melden.
Alle Provider blocken strikt RFC 1918 Absender IPs in ihre Netzwerke mit ACLs, folglich dürften also solche Pakete nicht auftauchen.
Es ist auch möglich das der Provider sein Backbone selber mit RFC 1918 IPs betreibt und auch OSPF. Das ist nicht unüblich, allerdings passiviert man dann tunlichst die Kundensegmente damit dort keine OSPF Multicasts auftauchen. Vermutlich hat da dann einer beim Setup des Routers geschlampt und das vergessen.
Fazit ist das es nicht auftauchen darf !! Du solltest den Provider ggf. mal drauf hinweisen !

Wenn du ein bischen Spaß haben willst aktivier auch mal OSPF bei dir und announce ein Default Gateway via OSPF. Mit ein bischen Glück lässt sich dann der Provider Router in die Irre führen und die Kundenhotline glüht dann face-big-smile Da freut sich dann dein Provider....
DerHahntrut
DerHahntrut 12.09.2014 um 13:07:11 Uhr
Goto Top
Ist mittlerweile ein Ticket beim ISP offen und dieses im Second-level / Third-level.
Die Logfiles hat er auch, bin gespannt was als Antwort zurück kommt.

Melde mich wieder..

gruss
aqui
aqui 12.09.2014 um 18:21:40 Uhr
Goto Top
Da sind wir auch mal gespannt auf das Feedback... !
DerHahntrut
DerHahntrut 17.10.2014 um 11:38:08 Uhr
Goto Top
Hallo

Eigentlich habe ich bereits eine Antwort getippt (auf dem Smartphone) jedoch aus Bequemlichkeit unterbrochen und dann vergessen da ich dachte bereits geantwortet zu haben;)

Es war wirklich so, dass der Provider geschlampt hat bei der Router Konfiguration. Die Aussage war, es wurde Hardware in Orts-zentrale getauscht und die Router-Konfiguration wurde nicht sauber auf alle Geräte runter geschrieben. Auch war es eine Aussage, dass es bei mir eine Ausnahme war/ist da ich hinter dem Modem vom Provider ein 10er Netz betreibe der ISP intern auch ein 10 Netz hat, somit die Pakete durch das ISP-Modem auf meinem Router geleitet wurden. Das ISP-Modem (Kein Router - reines Modem) hat WAN-seitig auch eine 10er Adresse, erst auf der LAN-Seite ist die öffentliche Adresse vorhanden.

Ich wurde in der folgende Woche als ich das Problem gemolden hatte täglich vom Support kontaktiert (auf Wunsch vom ISP) und ich wurde über die laufende Arbeiten informiert. Schritt für Schritt hat es dann aufgehört mit den Broadcast auf meinen Router. Nun ist wieder Ruhe eingekehrt;)

Ich wollte euch diese Info nicht vorenthalten und bedanke mich Herzlich für die Unterstützung
Lochkartenstanzer
Lochkartenstanzer 17.10.2014 aktualisiert um 11:44:02 Uhr
Goto Top
Moin,

dann kanst Du ja den Thread als gelöst abhaken.

lks

PS: Danke für's feedback. Ist nämlich nicht immer selbstversständliche, daß der TO sich die Mühe macht, das Ergebnis mitzuteilen.
brammer
brammer 17.10.2014 um 12:04:06 Uhr
Goto Top
Hallo,

Ja, vielen Dank für das Feedback.

und die Vermutungen gingen ja in die richtige Richtung.

brammer