Vodafone Station DoS attack - SmurfAttackIN a FloodingIN

[Návštěvník djvook]

Dobrý den,

prosím o radu, neboť jsem z toho již zoufalý. Využívám modem Vodafone Station v režimu router, s verzí FW: AR01.04.046.07_072921_7244.SIP.10.X1.

1.11.2021 jsem obdržel od Vodafone e-mail o bezpečnostním incidentu, že byla  Odhalena u mě zranitelnost: Botnet - zjištěna infikace malwarem, s varováním, že
včasným odstraněním závadného stavu do 14 dnů od doručení tohoto sdělení předejdete situaci, při které bude společnost Vodafone nucena v souladu s Všeobecnými obchodními podmínkami omezit téměř veškerý odchozí provoz služeb. Bude povolena komunikace pouze na portech 80 (http), 443 (https), 110 (POP3), 143 (IMAP), 53 (DNS), 67 a 68 (DHCP).

Začal jsem hned pátrat, oskenoval jsme antivirem všechny zařízení v mé lokální síti, ale nic jsem neobjevil. Takto jsem Vodafone reagoval zpět, mimochodem bez jejich reakce, což se divím, když se jedná o bezpečností incident, že je to dál netankuje. Mrknul jsem v "expertním" režimu v modemu do logu a všimnul jsem si, že z venku někdo na modem utočil DoS útoky FloodingIN a SmurAttackIN. Navíc se zpomalila rychlost internetu ca na 30 Mbit/s, z toho usuzuji, že byl modem těmito útoky vytížen. Po restartu modemu (odpojení od napájení) se rychlost opět zvedla na odebíranou, v mém případě 1Gb/s (celý gigabit to nebyl :-) ), od té doby bylo ticho po pěšině až do 10.11., kdy v rozmezí dvou hodin opět dva útoky typu Flooding a Smurf. Setkal jste se s tím někdo? Četl jsem na neměckém Vodafone fóru a zřejmě to není ojedinělé, zde se o tom moc ale nehovoří.

 

Zde výpis z logu modemu:

11/10/202118:14:14DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=ac:db:48:36:0a:6e:00:01:5c:96:cc:46:08:00:45:00:00:3c SRC=47.242.7.229 DST=89.176.134.194 LEN=60 TOS=0x00 PREC=0x00 TTL=42 ID=7011 DF PROTO=TCP SPT=44912 DPT=830 WINDOW=64240 RES=0x00 SYN URGP=0Firewall

11/10/202116:32:39DoS Attack - Smurf AttackIN=erouter0 OUT= MAC=ac:db:48:36:0a:6e:00:01:5c:96:cc:46:08:00:45:00:00:28 SRC=2.238.18.129 DST=89.176.134.194 LEN=40 TOS=0x00 PREC=0x00 TTL=36 ID=19383 PROTO=ICMP TYPE=13 CODE=0Firewall

[Adolf.Shitler]

Skoro to tak vypadá, jakoby VF oprášil staré praktiky Karnevalu a UPC, kdy podobné výmysly chodily emailem snad každý půlrok (než někomu ve vedení došlo, že tím jenom nasírá zákazníky a tuto praktiku zrušil).

[kenny]

Jednou mi UPC zablokovalo nějaký porty z takového důvodu, ale příčinu jsem nikdy nezjistil a nic přesnějšího jsem od nich nedostal. Ani mi nic neposlali, zjistil jsem to, když jsem hlásil závadu. Standartní porty fungovaly dál, ale něco zlobilo (nechci psát konkrétně). Moje zařízení byly v pořádku ale v uvedeném termínu jsem měl návštěvu a pustil jsem je na Wifi tak to možná bylo nějaké jejich zařízení. Divný je, že u nich doma jsou připojeni taky přes (tehdy) UPC / VF a žádný problém neměli.

[Návštěvník djvook]

Díky @kenny a @Adolf.Shitler za názory, no mě to docela mrzí, protože DoS je v dnešním technickým světě běžný a že to buší do routerů také, od toho tam mají ten svůj firewall, ale aby mě kvůli tomu takto strašili mě taktéž nepřijde úplně normální. Paradoxně jsem předtím měl UPC a nikdy jsem žádnou takovou zprávu nedostal. Za mě by si spíš měli ty své krabičky vyladit tak aby byly co nejvíce zabezpečené z venčí a ne si to potom vyřizovat s platícím zákazníkem.

[Marek-26]

Počkat, ale UPC či Vodafone neposílá tyto upozornění, když jde něco k vám, ale od vás. A kontrola antivirem je hezká věc, ale neznamená to, že tam něco není. Ono bohatě stačí, aby se něco připojilo na IP, kterou využívá např. nějaký botnet.

 

@djvook Přečtete si toto: https://csirt.cesnet.cz/cs/services/intrus/botdron to se vás konkrétně dosti týká.

[Návštěvník tomy007]

Ahoj já mám tohle zpomalování od 8.11 . Mail žádný nedorazil. Resetoval jsem router. Projel zařízení co mám ( mám všude Esety ) a nic . Ale v logu vidím taky asi 5x tyto utoky.  Vodafone bez reakce. 'Od 11/11 už FW nic nehlásí ale net zpomaluje až k nule.  A je jedno zda jede tablet, pc nebo telka 😞 Osobně mi přijde, že to zpomaluje více od doby, kdy jsem přesel na ten gigový tarif a měnil router

 

 

11/11/202122:49:01DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=70:54:25:3a:65:82:00:01:5c:a1:68:46:08:00:45:00:00:28 SRC=194.165.16.111 DST=89.103.198.244 LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=123 PROTO=TCP SPT=65533 DPT=8389 WINDOW=1024 RES=0x00 SYN URGP=0

Upraveno 13. listopadu 2021 uživatelem tomy007

[tomus]

Pokud se ti zpomaluje internet tak to bude spíš nějakým problémem se signálem, kontaktuj Vodafone, oni už se ti na to podívají.

[Návštěvník tomy007]

Hezký den, třeba pomůže ostatním. Dnes u mne byl technik. Vypadá to na vadu prvku na domě. Jsem jediný kdo má v domě 1Gb tak si zatím nikdo nestěžoval 😄 . Objednal se velký servis 

[Návštěvník djvook]

Díky @Marek-26 za popis, popsané si nastuduji, přesto je tedy zvláštní že jsem se s tímto setkal poprvé za x let.  Díky za tip @tomy007 a @tomus, po restartu "krabice" net sviští, asi se to prošťouchlo. Tak zaklepu na dřevo aby to vydrželo.