DDoS / UDP Port Flooding

  • 21 November 2023
  • 36 reacties
  • 733 Bekeken

Beste Odido,

 

Ik wordt hier een beetje moe van.

Het modem dat geleverd wordt kan dit niet aan. Telkens valt de internet verbinding weg zeker in de avond, en dit gaat nu al maanden zo. 

Kunnen jullie geen beter passend modem leveren, als jullie netwerk zoveel last heeft van dergelijke aanvallen, die wel overeind blijft bij dergelijke kleinschalige aanvallen. Hiervoor jaren bij ziggo gezeten zonder ook maar een enkel probleem te hebben ervaren omtrent dergelijke aanvallen.

 

Concreet is de vraag;  hebben jullie geen apparatuur die dit zelf afvangt of af kan handelen? Zo niet, kunnen jullie niet in een betere oplossing voor de eind gebruiker voorzien? Ergo een modem wat dergelijke dingen aankan. 

 

Het modem kan het niet aan, IP's worden niet binnen het modem op een blacklist gezet en direct geweigerd? Dit is nogal een standaard functie van een firewall? IP's zijn niet te blokkeren, alleen mac adressen..  Kortom het schiet ergens tekort, en dat is dan jullie dienstverlening of apparatuur die geleverd wordt.

 

Ik zou graag een passende oplossing ontvangen. En dat betekend niet mijn modem elke 2/3 dagen 24 uur van de stroom halen in de hoop een nieuw IP te krijgen van de DHCP.

 

M.v.g,

 

Bob

Pieter_B 5 maanden geleden

Hallo @BobMans, welkom.

Ben ook klant van Odido, maar gebruik een eigen router.

Je klinkt alsof je bekend met netwerken, dus werk jij in de IT sector als ik het goed aanvoel?

Het IP wat je ziet verschijnen is namelijk;

public-dns-primary.glasoperator.nl IN A 37.143.84.228

 

Waar je je meer zorgen om zou kunnen maken is de UDP_FLOODING aanvallen, wat die zijn i.d.d. gerelateerd aan een mogelijke DDos aanval.

Speel je toevallig online een game op een community server, ja … dan verbaasd mij dit niet. Veel gamers die via community servers of eigen servers games spelen krijgen hier in 9 van de 10 gevallen mee te maken. De ‘scriptkiddies’ gebruiken online tools, om DDos attacks op te zetten naar bijv. een range van IP’s .. helaas.

Dat is puur om je te laten verliezen in de game, omdat je response tijd fors omlaag kan gaan.

Een poortscan, zoals je ziet van de DNS server, dat zijn verwaarloosbaar kleine pakketjes. Deze hebben nauwelijks invloed op de doorvoer van je normale internet verkeer.

Bekijk origineel

36 reacties

Reputatie 7
Badge +14

Hoi @BobMans ,

Poort scans is iets wat een provider niet kan voorkomen. Het aanzetten van een Ddos firewall is een kostbare zaak, gewone consumenten routers voldoen hier niet aan. Het is wel je wettelijke recht om een eigen router/firewall aan te sluiten. Zo kun je geheel je eigen keuze maken en een specialistische leverancier van hardware voor benaderen.

Hoi @BobMans ,

Poort scans is iets wat een provider niet kan voorkomen. Het aanzetten van een Ddos firewall is een kostbare zaak, gewone consumenten routers voldoen hier niet aan. Het is wel je wettelijke recht om een eigen router/firewall aan te sluiten. Zo kun je geheel je eigen keuze maken en een specialistische leverancier van hardware voor benaderen.

Beste Eric,

I beg to differ :)

Het is dus een feit dat de apparatuur die jullie leveren bij jullie dienst, het niet aan kan of niet geschikt is. Ik verwacht als ik een dienst af neem dat deze naar behoren functioneert en kan functioneren in de daarvoor bestemde omgeving. 

Want het ‘wettelijk recht’ is leuk, maar ik mag ook verwachten dat ik een dienst krijg die beloofd is? Door deze aanvallen is normaal browsen niet eens mogelijk. Pagina's laden niet, verbinding valt weg enz enz. Kortom, device kan het niet aan. Die bij jullie dienst hoort.

 

Ja hij houdt het tegen, maar dus amper. Want het modem gaat onderuit.
Met mogelijke gevolgen van dien.

 

Reputatie 7
Badge +14

Je praat hier met andere klanten,  dus a.u.b. geen "jullie" .

Doos is gewoon geen onderdeel van een consumenten internetlijn.  Als je 48 uur je router uitzet krijg je een nieuw IP adres toegekend.

Je praat hier met andere klanten,  dus a.u.b. geen "jullie" .

Doos is gewoon geen onderdeel van een consumenten internetlijn.  Als je 48 uur je router uitzet krijg je een nieuw IP adres toegekend.

 

Excuus, de dienst van odido* Al begon ik de post ook met beste odido :)

Ik snap dat een modem bij de dienst hoort. Dat is ook mijn hele punt, de doos kan het niet aan. 

Ik heb bij andere providers nog nooit ervaren dat de dienst weg valt door dergelijke aanvallen op de consumenten zijde. Sterker nog, nog nooit iets van gemerkt. 

 

Vandaar ook omdat dit al maanden aan de gang is op en af, ook met gewijzigd IP addr. 
Vindt ik het vreemd dat er nu gezegd wordt, joh de dienst die we verlenen werkt niet naar behoren, maar hier zou je zelf wel geld aan kunnen uitgeven om het op te lossen. En dat lijkt mijn inziens niet helemaal kloppend.

 

Reputatie 7
Badge +14

Alle klanten van Odido hebben dezelfde modems. Er wordt wel eens een nieuw model geïntroduceerd,  maar het blijft allemaal in dezelfde range. Als je nog geen Zyxel t50 t54 of t56 hebt kun je de klantenservice vragen om zo'n model.

Helaas is het al een DX5401-B0 en een vrij recente aansluiting ook.
Al ben ik wel benieuwd wat ze hier vanuit Odido dan op gaan zeggen. Een reactie van een officiële medewerker zie ik dan ook graag tegemoet.

 

Ook interessant:

kernel: UDP PORT SCAN ATTACK:IN=eth0.6 OUT= MAC=d4:3d:f3:bd:d8:15:00:0e:00:00:00:01:08:00:45:00:00:42:8c:de:00:00:3b:11:67:12:25:8f:54:e4 SRC=37.143.84.228 DST=87.212.185.115 LEN=66 TOS=0x00 PREC=0x00 TTL=59 ID=36062 PROTO=UDP SPT=53 DPT=64844 LEN=46 MARK=0x8000000

 

https://www.whois.com/whois/37.143.84.228

Odido doet het zelf? 

Bijna all source ip adressen die gebruikt worden komen van:

 

Odido

Tmobile

Tmobile Thuis

Google

Google Cloud

Valve

Lijkt dan vanaf het netwek van Odido te komen of via het netwerk van Odido. 

Ik zou hier graag uitleg op ontvangen. En al het bovenstaand.

Reputatie 7
Badge +3

Hallo @BobMans, welkom.

Ben ook klant van Odido, maar gebruik een eigen router.

Je klinkt alsof je bekend met netwerken, dus werk jij in de IT sector als ik het goed aanvoel?

Het IP wat je ziet verschijnen is namelijk;

public-dns-primary.glasoperator.nl IN A 37.143.84.228

 

Waar je je meer zorgen om zou kunnen maken is de UDP_FLOODING aanvallen, wat die zijn i.d.d. gerelateerd aan een mogelijke DDos aanval.

Speel je toevallig online een game op een community server, ja … dan verbaasd mij dit niet. Veel gamers die via community servers of eigen servers games spelen krijgen hier in 9 van de 10 gevallen mee te maken. De ‘scriptkiddies’ gebruiken online tools, om DDos attacks op te zetten naar bijv. een range van IP’s .. helaas.

Dat is puur om je te laten verliezen in de game, omdat je response tijd fors omlaag kan gaan.

Een poortscan, zoals je ziet van de DNS server, dat zijn verwaarloosbaar kleine pakketjes. Deze hebben nauwelijks invloed op de doorvoer van je normale internet verkeer.

Hallo @BobMans, welkom.

Ben ook klant van Odido, maar gebruik een eigen router.

Je klinkt alsof je bekend met netwerken, dus werk jij in de IT sector als ik het goed aanvoel?

Het IP wat je ziet verschijnen is namelijk;

public-dns-primary.glasoperator.nl IN A 37.143.84.228

 

Waar je je meer zorgen om zou kunnen maken is de UDP_FLOODING aanvallen, wat die zijn i.d.d. gerelateerd aan een mogelijke DDos aanval.

Speel je toevallig online een game op een community server, ja … dan verbaasd mij dit niet. Veel gamers die via community servers of eigen servers games spelen krijgen hier in 9 van de 10 gevallen mee te maken. De ‘scriptkiddies’ gebruiken online tools, om DDos attacks op te zetten naar bijv. een range van IP’s .. helaas.

Dat is puur om je te laten verliezen in de game, omdat je response tijd fors omlaag kan gaan.

Een poortscan, zoals je ziet van de DNS server, dat zijn verwaarloosbaar kleine pakketjes. Deze hebben nauwelijks invloed op de doorvoer van je normale internet verkeer.

 

Hi Pieter,

 

Correct, ik ben inderdaad werkzaam in de IT.

Helaas is het niet alleen UDP Flooding het is ook Ping of Death etc. En dat non-stop.

Ook speel ik niet echt community games. Mjin meeste tijd al jaren zit bijv in Overwatch.

Nu weet ik wellicht als ik een eigen device plaats die het beter zou kunnen afhandelen en deze meer tegen zou kunnen houden. Echter vindt ik dit ergens wel kwalijke zaak, gezien ik verre van de enige ben met dergelijke meldingen op het forum , en er vervolgens weinig tot niks mee gebeurd, dat mensen ‘uit ellende’ maar eigen apparatuur gaan plaatsen.

Een fritzbox 5530 fiber bijv komt by default al met opties om je router beter te beschermen dan of nu zichtbaar of toegepast wordt in de Zyxells.

Bijv;

 

  • The FRITZ!Box checks all incoming and outgoing data packets and automatically rejects unwanted data from the internet (Stateful Packet Inspection). This way only data packets that are direct replies to previous requests reach the home network.
  • None of the devices in the home network are visible on the internet, which means that it is not possible to access the devices directly over the internet. This is ensured by IP Masquerading or Network Address Translation (NAT) on the TCP/IP level.
  • By default, all TCP and UDP ports are closed for incoming connections from the internet to the home network. Therefore, so-called "port scans" cannot find any open TCP or UDP ports that could represent weak points for potential attacks from "hackers".
  • The FRITZ!Box uses packet filters to prevent data packets (for example NetBIOS) containing information about devices in the home network from reaching the internet.
Reputatie 7
Badge +3

Er zijn wel vaker op en aanmerkingen gemaakt over de keuze van Huawei producten, maar het is vaak ook een keuze die ‘hogerop’ is genomen en dan vooral gericht op de kostprijs.

Heb hier ooit bij een andere provider jaren geleden ook een Huawei gehad, maar daar kon ik elke response uitzetten, maar als ik het dan controleerde bleef hij gewoonweg de uitgezette reply geven .. dat gaf mij toen wel te denken.

Tegenwoordig staat het vrij om een eigen modem aan te sluiten, wat ik trouwens al vele jaren doe. Ook al was het eerst achter hun router, maar later direct op een eigen media converter.

POPD’s zijn i.d.d. probleem dingetjes, zeker als de router zich daarin kan ‘verslikken’.

FB’s hebben een goede naam als het gaat om consumenten router, maar daar hangt wel een iets hoger prijskaartje aan.

Ik zie alleen maar voordelen bij het aansluiten van een eigen router, je hebt 100% controle over jouw netwerk en vooral de instellingen en nog belangrijker … de updates!

Zie nu net dat ik ook even aan de bak moet … 😁

 

Er zijn wel vaker op en aanmerkingen gemaakt over de keuze van Huawei producten, maar het is vaak ook een keuze die ‘hogerop’ is genomen en dan vooral gericht op de kostprijs.

Heb hier ooit bij een andere provider jaren geleden ook een Huawei gehad, maar daar kon ik elke response uitzetten, maar als ik het dan controleerde bleef hij gewoonweg de uitgezette reply geven .. dat gaf mij toen wel te denken.

Tegenwoordig staat het vrij om een eigen modem aan te sluiten, wat ik trouwens al vele jaren doe. Ook al was het eerst achter hun router, maar later direct op een eigen media converter.

POPD’s zijn i.d.d. probleem dingetjes, zeker als de router zich daarin kan ‘verslikken’.

FB’s hebben een goede naam als het gaat om consumenten router, maar daar hangt wel een iets hoger prijskaartje aan.

Ik zie alleen maar voordelen bij het aansluiten van een eigen router, je hebt 100% controle over jouw netwerk en vooral de instellingen en nog belangrijker … de updates!

Zie nu net dat ik ook even aan de bak moet … 😁

 

Dat kan zeker kloppen :P
Ik zie er alleen maar nadelen aan, ik wil thuis komen en mijn spullenboel moet gewoon werken. Ik wil hier geen omkijken naar hebben in prive sferen bij voorkeur :)

En nogmaals ik snap dat ik het mag en kan doen natuurlijk. Maar ik wil gewoon een dienst afnemen die werkt naar behoren, ik denk ook niet dat dat teveel gevraagd is? Als het ergens in deze alert logs mis gaat, lijkt dat allemaal aan de kant van de provider, en alsnog mocht het direct bij mijn adres uitkomen, is het nog steeds dat het geleverde het niet aan kan. Een web pagina bezoeken gister avond was bijna onmogelijk. 

(Scheelt dat pfSense maar 3 a 4 updates per jaar doet :) )

Reputatie 7
Badge +3

Zal het topic even onder de aandacht brengen bij de moderators van de community, want natuurlijk moet een verbinding stabiel zijn.

Dus ik weet niet of @Jason van Odido of ik zie dat @Demi van Odido even mee kunnen kijken als ze tijd hebben, want ik als mede klant ben denk ik niet de juiste persoon voor een oplossing.

pfSense betreffende, als het 1 update per jaar is dan is dat al veel. Zie dat het een minor version is, met een kleine patch om de EOL van openSSL 1.1.1 te corrigeren.

Goed, daar ben jij niet mee geholpen, maar ik hoop dat een moderator je wel kan helpen.

 

Helaas nog geen enkele reactie van Odido zelf. Echter blijft het doorgaan syn flooding attacks vanuit tmobile?!

Reputatie 7
Badge +3

Meestal proberen de moderators binnen 48 uur het topic op te pikken @BobMans, heb je ge-tagged en mijn ervaring is dat ze het ook wel hebben waargenomen.

Je bent natuurlijk niet de enige met problemen, dus even ‘op je handen blijven zitten’ en afwachten.

Hopelijk kun je dat geduld nog even opbrengen, het is wat het is .. in de IT is het altijd PRIO’s stellen waar je je aandacht het eerst aan moet geven … hoop voor je begrip.

Het wordt in elk geval langzaam wel een dingetje, het stopt niet. Daardoor kan ik  mijn halve huis niet bedienen (smart home) en thuiswerken  wordt ook flink bemoeilijkt. Middels de helpdesk contact gehad, en daar advies gekregen om naar abuse@odido.nl te mailen, dit ook gedaan incl verwijzing naar dit topic.

Fingers crossed in elk geval.

Helaas nergens nog een reactie :(

Reputatie 7
Badge +9

Hey @BobMans, ik wil toch vragen of @Sven-Odido hier een deskundige blik op wilt werpen. Hopelijk kan hij iets meer zien dan ik! 

Hey @BobMans, ik wil toch vragen of @Sven-Odido hier een deskundige blik op wilt werpen. Hopelijk kan hij iets meer zien dan ik! 

Zou mooi zijn, gezien het blijft doorgaan en tv kijken, web browsen etc gewoon amper lukt

Reputatie 7
Badge +4

Hey @BobMans, ik wil toch vragen of @Sven-Odido hier een deskundige blik op wilt werpen. Hopelijk kan hij iets meer zien dan ik! 

Sure thing :) 

De melding zijn van geblokkeerde acties in de firewall, normaliter is dat goed. Maar het lijkt alsof die om wat voor reden dan ook heel agressief bezig is. Lets see if we can figure out why.

@BobMans

Ik zie dat je gebruik maakt van Thuis Veilig Online. Kan je screenshots delen van de ingestelde regels die je daar hebt. Dat kan ons eventueel helpen om te vinden waar het probleem vandaag komt. 

Hey @BobMans, ik wil toch vragen of @Sven-Odido hier een deskundige blik op wilt werpen. Hopelijk kan hij iets meer zien dan ik! 

Sure thing :) 

De melding zijn van geblokkeerde acties in de firewall, normaliter is dat goed. Maar het lijkt alsof die om wat voor reden dan ook heel agressief bezig is. Lets see if we can figure out why.

@BobMans

Ik zie dat je gebruik maakt van Thuis Veilig Online. Kan je screenshots delen van de ingestelde regels die je daar hebt. Dat kan ons eventueel helpen om te vinden waar het probleem vandaag komt. 

Hi Sven, 

Dat kun je wel stellen.
Nogmaals een verwijzing naar posts hierboven dat het gros van deze IP's van odido, tmobile thuis en tmobile afkomen. 

Thuis Veilig Online is vandaag aangezet ;
 

In het modem zelf is er nog geen wijziging te zien van veilig online.

Ik zal het je verder niet aandoen het log van vandaag erbij te plakken a 330 regels and counting :)

Reputatie 7
Badge +4

Meerder dingen lijken niet helemaal lekker te gaan. Ik ben ernaar aan het kijken met de leverancier. 

Meerder dingen lijken niet helemaal lekker te gaan. Ik ben ernaar aan het met de leverancier. 

Verneem het graag, het lijkt alleen maar toe te nemen. En een verbinding houden op moment of het modem online houden wordt steeds meer een uitdaging.

 

 

Reageer