SIP DoS von 217.0.27.52 (tel.t-online.de)
Moin Kollegen,
meine TKA hat mich gestern mit folgender Mail beglückt:
Soweit nichts besonderes, aber ich habe mir mal die Mühe gemacht zu gucken, wem die IP eigentlich gehört. Der Witz: 217.0.27.52 löst auf tel.t-online.de auf. Die werden doch nicht...?
Meine Vermutung: Die Telekom verschickt ab und zu ein "Sicherheitswarnung"-Schreiben, in dem sie mir mehr oder minder technisch mitteilen möchte, dass Ports offen wären.
Natürlich keine Details, denn man könnte es ja fixen. Hatte in der Vergangenheit auf einer Leitung wo die Ports 80 und 443 freigegeben sind und dort beinahe wöchentlich solche Schreiben daherkamen, dann mal eine Mail zurückgeschickt dass ich über diese Leitung einen Webserver betreibe und ich das gerne so beibehalten würde. Antwort kam selbstverständlich... nie.
Oder liege ich komplett falsch und die Damen und Herren von der Telekom haben einfach nur ein neues Geschäftsfeld aufgetan?
lG MOS
meine TKA hat mich gestern mit folgender Mail beglückt:
30.06.2018 - 15:58 Uhr [SECURITY]: IP-blacklist: add 217.0.27.52. Reason: SIP Denial of Service.
30.06.2018 - 15:58 Uhr [SECURITY]: IP-blacklist: add 217.0.27.52. Reason: 1
Soweit nichts besonderes, aber ich habe mir mal die Mühe gemacht zu gucken, wem die IP eigentlich gehört. Der Witz: 217.0.27.52 löst auf tel.t-online.de auf. Die werden doch nicht...?
Meine Vermutung: Die Telekom verschickt ab und zu ein "Sicherheitswarnung"-Schreiben, in dem sie mir mehr oder minder technisch mitteilen möchte, dass Ports offen wären.
Natürlich keine Details, denn man könnte es ja fixen. Hatte in der Vergangenheit auf einer Leitung wo die Ports 80 und 443 freigegeben sind und dort beinahe wöchentlich solche Schreiben daherkamen, dann mal eine Mail zurückgeschickt dass ich über diese Leitung einen Webserver betreibe und ich das gerne so beibehalten würde. Antwort kam selbstverständlich... nie.
Oder liege ich komplett falsch und die Damen und Herren von der Telekom haben einfach nur ein neues Geschäftsfeld aufgetan?
lG MOS
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 378743
Url: https://administrator.de/contentid/378743
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo MOS,
ruf dort an, meine telefonischen Meldungen führt sofort zur Klärung. Andererseits, du willst nicht wissen, welche kruden Konstellationen es da draussen gibt...Sollte die Telekom wirklich stillschweigen gegenüber diesen Firmen wahren und Sie so ins offene Messer rennen lassen?
Viele Grüße,
Christian
ruf dort an, meine telefonischen Meldungen führt sofort zur Klärung. Andererseits, du willst nicht wissen, welche kruden Konstellationen es da draussen gibt...Sollte die Telekom wirklich stillschweigen gegenüber diesen Firmen wahren und Sie so ins offene Messer rennen lassen?
Viele Grüße,
Christian
Du interpretierst das Mail vielleicht falsch !
Die 217er IP gehört zu einem PPPoE Dialin Pool des DTAG Kundennetzes:
inetnum: 217.0.0.0 - 217.5.127.255
netname: DTAG-DIAL13
descr: Deutsche Telekom AG
Das bedeutet vermutlich das jemand aus dem Kundennetz der DTAG mit dieser IP einen vermeintlichen DDoS Angiff auf deinen Router oder die TKA geführt hat sofern sich die TKA hinter dem NAT Router oder direkt im Internet befindet.
Die Email ist ja NICHT von der DTAG selber sondern von deiner TKA bzw. deinem Router generieriert worden und nur der kann ja merken wenn auf ihn geschossen wird !
Die DTAG weiss ja auch wem in dem Zeitraum die 217.0.27.52 per PPPoE zugeteilt wurde.
Letztlich zeigt es aber auch das du die SIP Connection der TKA nur oberflächlich und nicht gesichert eingerichtet hast. Du hättest da natürlich auch eine Accessliste implementieren können die Inbound SIP Sessions eben nur von SIP Servern der DTAG zulässt und nicht von jeder x-beliebigen Adresse aus dem Kunden PPPoE Pool. Bessere Router haben dafür in ihrer Firewall Funktion auch ein SIP (VoIP) Application Gateway.
Also auch ein bischen an die eigene Nase fassen...
Die 217er IP gehört zu einem PPPoE Dialin Pool des DTAG Kundennetzes:
inetnum: 217.0.0.0 - 217.5.127.255
netname: DTAG-DIAL13
descr: Deutsche Telekom AG
Das bedeutet vermutlich das jemand aus dem Kundennetz der DTAG mit dieser IP einen vermeintlichen DDoS Angiff auf deinen Router oder die TKA geführt hat sofern sich die TKA hinter dem NAT Router oder direkt im Internet befindet.
Die Email ist ja NICHT von der DTAG selber sondern von deiner TKA bzw. deinem Router generieriert worden und nur der kann ja merken wenn auf ihn geschossen wird !
Die DTAG weiss ja auch wem in dem Zeitraum die 217.0.27.52 per PPPoE zugeteilt wurde.
Letztlich zeigt es aber auch das du die SIP Connection der TKA nur oberflächlich und nicht gesichert eingerichtet hast. Du hättest da natürlich auch eine Accessliste implementieren können die Inbound SIP Sessions eben nur von SIP Servern der DTAG zulässt und nicht von jeder x-beliebigen Adresse aus dem Kunden PPPoE Pool. Bessere Router haben dafür in ihrer Firewall Funktion auch ein SIP (VoIP) Application Gateway.
Also auch ein bischen an die eigene Nase fassen...
Dass die IP zu einem Dialin-Pool der DTAG gehört, wusste ich nicht, danke für die Info.
Dafür darfst du dich bei http://www.utrace.de/?query=217.0.27.52 bedanken
Ihr beiden Helden hättet auch mal eine Vorwärtsauflösung von tel.t-online.de machen sollen
Das ist ein SIP-Server der Telekom, auch wenn die Telekom ihren WHOIS nicht ordentlich angepasst hat.
Was die TK-Anlage des TO vermutlich gesehen hat waren OPTIONS-Anfragen zu den registrierten Rufnummern. Damit wird die Erreichbarkeit der Telefonanlage getestet, wenn man von der über einen längeren Zeitraum nichts gehört hat. Darauf antwortet die Telefonanlage üblicherweise irgendwie und diese Antwort (es ist wirklich egal, was geantwortet wird) ist dann für den SIP-Server der Telekom der "Beweis", dass deine Telefonanlage noch erreichbar ist und tendenziell eingehende Anrufe entgegen nehmen kann.
Diese Anfragen kommen pro Registrierung. Hast du einen Account/Rufnummer registriert, bekommst du nur eine Anfrage alle (ich glaube) 10 bis 15 Minuten. Hast du mehrere Registrierungen dann natürlich entsprechend mehr.
Antwortet deine Telefonanlage nicht darauf, wiederholt der SIP-Server die Anfragen nach ein paar Sekunden und das ein paar Mal.
Dann erklärt er deine Telefonanlage für unerreichbar und du erhältst keine eingehenden Anrufe mehr.
Ich würde an deiner Stelle die ACL schleunigst wieder entfernen
Wenn die Telefonanlage das nächste Mal wieder meckert, soll sie dies bitte konkreter machen und eventuell solltest du dann auch mal nachsehen, was denn da für Anfragen kommen
tel.t-online.de. 600 IN CNAME ims.voip.t-ipnet.de.
ims.voip.t-ipnet.de. 86400 IN CNAME ims001.voip.t-ipnet.de.
ims001.voip.t-ipnet.de. 86400 IN CNAME do-epp-801.isp.t-ipnet.de.
do-epp-801.isp.t-ipnet.de. 600 IN A 217.0.27.52
;; Received 130 bytes from 194.25.2.132#53(194.25.2.132) in 57 ms
Das ist ein SIP-Server der Telekom, auch wenn die Telekom ihren WHOIS nicht ordentlich angepasst hat.
Was die TK-Anlage des TO vermutlich gesehen hat waren OPTIONS-Anfragen zu den registrierten Rufnummern. Damit wird die Erreichbarkeit der Telefonanlage getestet, wenn man von der über einen längeren Zeitraum nichts gehört hat. Darauf antwortet die Telefonanlage üblicherweise irgendwie und diese Antwort (es ist wirklich egal, was geantwortet wird) ist dann für den SIP-Server der Telekom der "Beweis", dass deine Telefonanlage noch erreichbar ist und tendenziell eingehende Anrufe entgegen nehmen kann.
Diese Anfragen kommen pro Registrierung. Hast du einen Account/Rufnummer registriert, bekommst du nur eine Anfrage alle (ich glaube) 10 bis 15 Minuten. Hast du mehrere Registrierungen dann natürlich entsprechend mehr.
Antwortet deine Telefonanlage nicht darauf, wiederholt der SIP-Server die Anfragen nach ein paar Sekunden und das ein paar Mal.
Dann erklärt er deine Telefonanlage für unerreichbar und du erhältst keine eingehenden Anrufe mehr.
Ich würde an deiner Stelle die ACL schleunigst wieder entfernen
Wenn die Telefonanlage das nächste Mal wieder meckert, soll sie dies bitte konkreter machen und eventuell solltest du dann auch mal nachsehen, was denn da für Anfragen kommen
Ein Nachtrag noch zu der Eingangsfrage, wieso die Telekom manchmal Post und E-Mails mit Sicherheitswarnungen verschickt:
Die scannen mit hoher Wahrscheinlichkeit nicht selbst. Die bekommen - wie quasi alle anderen Provider in Deutschland auch - vom BSI unaufgefordert Abuse-Meldungen mit Listen von IP-Adressen aus dem AS des Providers.
Die kann man dann automatisiert verarbeiten und die betroffenen Kunden anschreiben. Eine Pflicht dazu besteht zwar nicht, aber getreu dem Motto "unser Netz soll schöner werden" spart es ja auch Bandbreite, wenn die Kunden keine offenen DNS-Resolver betreiben oder anderweitig für derartige Attacken eingespannt werden.
So eine E-Mail über offene DNS-Resolver sieht dann z.B. so aus:
Die scannen mit hoher Wahrscheinlichkeit nicht selbst. Die bekommen - wie quasi alle anderen Provider in Deutschland auch - vom BSI unaufgefordert Abuse-Meldungen mit Listen von IP-Adressen aus dem AS des Providers.
Die kann man dann automatisiert verarbeiten und die betroffenen Kunden anschreiben. Eine Pflicht dazu besteht zwar nicht, aber getreu dem Motto "unser Netz soll schöner werden" spart es ja auch Bandbreite, wenn die Kunden keine offenen DNS-Resolver betreiben oder anderweitig für derartige Attacken eingespannt werden.
So eine E-Mail über offene DNS-Resolver sieht dann z.B. so aus:
Sehr geehrte Damen und Herren,
in den letzten Monaten haben DDoS-Reflection-Angriffe mittels
DNS-Amplification weiter zugenommen. Auch eine große Anzahl in
Deutschland gehosteter DNS-Server wird regelmäßig für derartige
Angriffe gegen IT-Systeme Dritter missbraucht.
Nachfolgend senden wir Ihnen eine Liste offener DNS-Resolver in
Ihrem Netzbereich, welche für DDoS-Reflection-Angriffe missbraucht
werden können, sofern keine Gegenmaßnahmen wie Rate-Limiting
implementiert wurden. Der Zeitstempel (Zeitzone UTC) gibt an,
wann der jeweilige offene DNS-Resolver identifiziert wurde.
Wir möchten Sie bitten zu prüfen, ob die offenen Resolver in Ihrem
Netzbereich beabsichtigt als solche konfiguriert sind und falls ja,
ob entsprechende Schutzmaßnahmen zur Verhinderung des Missbrauchs
der Server für DDoS-Angriffe implementiert wurden.
Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmaßnahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.
Weitere Informationen zu dieser Benachrichtigung, Hinweise zur
Behebung gemeldeter Sicherheitsprobleme sowie Antworten auf häufig
gestellte Fragen finden Sie unter:
<https://reports.cert-bund.de/>
Diese E-Mail ist mittels PGP digital signiert.
Informationen zu dem verwendeten Schlüssel finden Sie unter:
<https://reports.cert-bund.de/digitale-signatur>
Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht. Antworten an die
Absenderadresse <reports@reports.cert-bund.de> werden NICHT gelesen
und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte
unter Beibehaltung der Ticketnummer [CB-Report#...] in der
Betreffzeile an <certbund@bsi.bund.de>.
!! Bitte lesen Sie zunächst unsere HOWTOs und FAQ, welche unter
!! <https://reports.cert-bund.de/> verfügbar sind.
======================================================================
Bitte teilen Sie uns an <certbund@bsi.bund.de> mit, wenn Sie die Daten
zu betroffenen Systemen als Dateianhang statt inline erhalten möchten.
Please let us know at <certbund@bsi.bund.de> if you would like to receive
the data on affected systems as a file attachment instead of inline.
======================================================================
Betroffene Systeme in Ihrem Netzbereich:
Affected hosts on your networks:
"asn","ip","timestamp"
"ASNXX","********.78","2018-06-30 00:17:44"
"ASNXX","********.70","2018-06-30 00:36:36"
"ASNXX","********.86","2018-06-30 00:36:48"
"ASNXX","********.254","2018-06-30 00:39:04"
"ASNXX","********.69","2018-06-30 00:43:57"
"ASNXX","********.77","2018-06-30 00:47:55"
"ASNXX","********.94","2018-06-30 00:52:57"
"ASNXX","********.91","2018-06-30 00:55:05"
"ASNXX","********.72","2018-06-30 01:01:26"
"ASNXX","********.65","2018-06-30 01:04:49"
"ASNXX","********.248","2018-06-30 01:06:23"
"ASNXX","********.79","2018-06-30 01:10:06"
"ASNXX","********.146","2018-06-30 01:21:40"
"ASNXX","********.82","2018-06-30 01:24:23"
"ASNXX","********.81","2018-06-30 01:30:23"
"ASNXX","********.93","2018-06-30 01:35:42"
"ASNXX","********.90","2018-06-30 01:34:11"
"ASNXX","********.76","2018-06-30 01:36:37"
"ASNXX","********.71","2018-06-30 01:39:57"
"ASNXX","********.87","2018-06-30 01:42:18"
"ASNXX","********.88","2018-06-30 02:09:32"
"ASNXX","********.73","2018-06-30 02:17:44"
"ASNXX","********.80","2018-06-30 02:17:00"
"ASNXX","********.92","2018-06-30 02:21:58"
"ASNXX","********.89","2018-06-30 02:22:57"
"ASNXX","********.84","2018-06-30 02:21:05"
"ASNXX","********.67","2018-06-30 02:25:40"
"ASNXX","********.75","2018-06-30 02:33:15"
"ASNXX","********.68","2018-06-30 02:40:58"
"ASNXX","********.3","2018-06-30 03:09:17"
"ASNXX","********.83","2018-06-30 03:03:21"
"ASNXX","********.85","2018-06-30 03:10:16"
"ASNXX","********.66","2018-06-30 03:20:07"
"ASNXX","********.74","2018-06-30 03:26:42"
Mit freundlichen Grüßen / Kind regards
Team CERT-Bund
Bundesamt für Sicherheit in der Informationstechnik
Federal Office for Information Security (BSI)
Referat CK22 - CERT-Bund
Godesberger Allee 185-189, 53175 Bonn, Germany
Zitat von @MOS6581:
Soweit nichts besonderes, aber ich habe mir mal die Mühe gemacht zu gucken, wem die IP eigentlich gehört. Der Witz: 217.0.27.52 löst auf tel.t-online.de auf. Die werden doch nicht...?
Soweit nichts besonderes, aber ich habe mir mal die Mühe gemacht zu gucken, wem die IP eigentlich gehört. Der Witz: 217.0.27.52 löst auf tel.t-online.de auf. Die werden doch nicht...?
Moin,
217.0.0.0/13 gehört zwar der telekom, aber zumindest für 217.0.27.52 bekomme ich keine reverse-Aufläsung. Welchen nameserver hast Du denn gefragt?
lks