Netzwerkattacke oder FritzBox defekt?

[Rubberduck]

Hallo,

seit drei Tagen habe ich zu Hause ein seltsames Phänomen.

Immer wenn ich den Port 443 auf meiner Fritzbox auf eine interne IP weiterleite, ist nach ca 10 Sekunden mein WAN weg.
Fritzbox ist dann meist nicht mehr zu erreichen.

Beende ich bspw. die virtuelle Maschine auf die meine weitergeleitete Adresse zeigt, reaktiviert sich alles wieder.
Muss ich davon ausgehen, dass mich jemand/etwas angreift oder kann meine Fritzbox einen 'Hau' haben:

Ich frag in Richtung Fritzbox weil ich mir die Alternative kaum vorstellen kann und falls das wirklich ein Angriff sein sollte, wie sollte ich das lösen können?
Was würdet ihr tun um das zu prüfen?

Vielen Dank für eure Unterstützung.

[mat6937]

Fritzbox ist dann meist nicht mehr zu erreichen.

Von wo ist die FritzBox meist nicht zu erreichen, aus dem Internet oder aus dem (W)LAN?

Hast Du in deiner FritzBox den Fernzugriff (zur FritzBox) aus dem Internet, aktiviert? Wenn ja, auf welchem Port?

[Rubberduck]

Aus dem internen Netz ist die FB nicht mehr zu erreichen, oder nur sehr schlecht.
Es ist so als wäre sie zu dem Zeitpunkt überlastet.

Mir fliegt sozusagen einfach das Gateway weg.
Alle anderen Geräte haben dann natürlich auch keinen Zugriff mehr ins Internet.

Fernzugriff ist aus.
Zugriff nach Hause ( Webseite, Owncloud usw ) läuft über einen dynamischen DNS Eintrag und landet auf meinem Docker-Host.
Ist aber gerade alles aus. Wollte das Problem ja analysieren und nachstellen können.

FB habe ich auch schon zurückgesetzt. Die macht gerade gar nichts. Selbst IP Adressen vergibt mein Server intern.

Ich habe also zum Nachstellen des Problems nur eine 443 Weiterleitung auf eine IP einer virtuellen Maschine in meinem Heimnetz erstellt.
Jedesmal wenn ich diese Freigabe aktiviere und die Maschińe dahinter ist online, geht der Zauber los...bzw. aus.
Beende ich die Maschine oder deaktiviere die Weiterleitung ( wenn ich es rechtzeitig schaffe das über die FB zu machen) dann ist nach 30 Sekunden alles wieder normal.

[mat6937]

Jedesmal wenn ich diese Freigabe aktiviere und die Maschińe dahinter ist online, geht der Zauber los...bzw. aus.

Ist die Maschine dahinter nur online oder lauscht auf dieser Maschine auch ein Dienst/daemon auf dem Port 443? Wenn ja, welcher Dienst/daemon?

[Rubberduck]

Da lauscht nix.

Ich kann die IP auf jede Maschine bei mir zeigen lassen ( Server, Hauptrechner, Notebook, VM), ist immer das gleiche Ergebnis.
Muss nur Online sein, die Maschine.

[mat6937]

Da lauscht nix.

OK, dann schau dir mal den Eingangstraffic zu diesem Port 443 an:

Code: Alles auswählen

tcpdump -c 100 -vvveni any port 443

[Rubberduck]

Hab es gerade nochmal genau nachgestellt.

Scheint auch wirklich nur auf Port 443 so zu sein.
Weiterleitung von 80, oder 22 auf die Maschine macht garnichts.
Aktiviere ich 443 steht alles still was ins Internet will. Aber vor allem - sofort- instant.

Irgendwie komisch. Ich hatte das zwar noch nie, aber ich würde doch denken, das bei einer Attacke, das ein paar Minuten dauert, bis die FB es nicht mehr schafft zu antworten und folgedessen nicht mehr erreichbar ist.
Ich kenne mich da aber auch nicht aus und habe hier leider keine Fortinet oder Fortianalyzer am start hehe..

[Rubberduck]

Ok, du meinst also ich soll das auf der Maschine ausführen, auf die ich die Weiterleitung eingerichtet habe ja.
mal sehen.
teste ich sofort.

[mat6937]

Ok, du meinst also ich soll das auf der Maschine ausführen, auf die ich die Weiterleitung eingerichtet habe ja.

Ja, danach kannst Du auf dieser Maschine auch folgende iptables-Regeln setzen:

Code: Alles auswählen

iptables -t raw -I PREROUTING 1 -p tcp --dport 443 -j DROP
iptables -t raw -I PREROUTING 2 -p udp --dport 443 -j DROP

Ich denke, dass deine FritzBox evtl. das Problem ist. Evtl. ist dort doch so etwas wie der Fernzugriff (oder gleichwertig) auf Port 443 aktiviert/konfiguriert. Wenn das der Fall ist, darf in der FritzBox, der Port 443 nicht weiter geleitet werden.

[Rubberduck]

hmm etwas verwirrend.
10.0.0.68 ist meine VM.

Also erst mal ein Ausschnitt aus dem tcpdump:

Code: Alles auswählen

 tcpdump -c 100 -vvveni any port 443
 
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
00:26:13.548318  In e0:28:6d:40:94:8b ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 9335, offset 0, flags [DF], proto TCP (6), length 60)
    176.198.40.58.39512 > 10.0.0.68.443: Flags [S], cksum 0xeb62 (correct), seq 2742930303, win 29200, options [mss 1460,sackOK,TS val 3826980892 ecr 0,nop,wscale 7], length 0
00:26:15.708104  In e0:28:6d:40:94:8b ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 9336, offset 0, flags [DF], proto TCP (6), length 60)

Seltsamerweise fliegt mein GW gerade nicht mehr weg.
Verstehe ich nicht.
Was sagt dir der Dump?

[Rubberduck]

Ich glaube nicht dass das der Fall ist. Zumindest nicht ohne das Die FB defekt wäre.
Normalerweise lässt die FB keine Weiterleitung auf 443 zu wenn der Fernzugang aktiviert ist.

Deswegen habe ich meinen Fernzugang immer über einen anderen Port angegeben.

Das mit der IPtables Regel muss ich mir noch überlegen. Später wird der Port wieder auf meinen Docker-Host zeigen um über 443 meine Webseite und OwnCloud anzubieten.
Da sind ja seitens Fail2ban und Docker ( leider ) eigene Regeln am Werk.

[Rubberduck]

Sag mal der tcpdump Befehl.
Zeigt der nur was an wenn was auf dem Port ankommt oder zeigt er womöglich immer was an?

Ich hab jetzt gerade mal mein Laptop gestartet und wollte damit testen,
starte den tcpdump Befehl und bekomm sofort durchgehend antworten, ähnlich wie oben,
OHNE eine Portweiterleitung auf das Laptop...

Bei meinem richtigen PC ist das auch der Fall

Code: Alles auswählen

 172.217.18.174.443 > 10.0.0.1.56864: Flags [.], cksum 0x33d6 (correct), seq 1, ack 1, win 329, options [nop,nop,TS val 870375641 ecr 238693175], length 0
00:46:55.339495 Out f4:6d:04:65:e7:bf ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 64, id 7223, offset 0, flags [DF], proto TCP (6), length 60)

[mat6937]

Code: Alles auswählen

00:26:13.548318  In e0:28:6d:40:94:8b ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 9335, offset 0, flags [DF], proto TCP (6), length 60)
    176.198.40.58.39512 > 10.0.0.68.443: Flags [S], cksum 0xeb62 (correct), seq 2742930303, win 29200, options [mss 1460,sackOK,TS val 3826980892 ecr 0,nop,wscale 7], length 0
00:26:15.708104  In e0:28:6d:40:94:8b ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 62, id 9336, offset 0, flags [DF], proto TCP (6), length 60)

Was sagt dir der Dump?

Der Dump zeigt, dass von der externen IP-Adresse 176.198.40.58 (unitymedia) auf den TCP-Port 443 (der weiter geleitet ist) deiner FritzBox, mit dem syn-Flag (1. Schritt im 3-Wege-Handschlag) zugegriffen worden ist. Man könnte den tcpdump-Filter jetzt so ändern, dass man sieht ob dein Gerät mit icmp-Nachricht darauf reagiert hat.

[mat6937]

Sag mal der tcpdump Befehl.
Zeigt der nur was an wenn was auf dem Port ankommt oder zeigt er womöglich immer was an?

Der tcpdump-Befehl zeigt nicht immer was an. Nur wenn was ankommt bzw. was vom source-Port 443 raus geht.

Bei meinem richtigen PC ist das auch der Fall

Code: Alles auswählen

 172.217.18.174.443 > 10.0.0.1.56864: Flags [.], cksum 0x33d6 (correct), seq 1, ack 1, win 329, options [nop,nop,TS val 870375641 ecr 238693175], length 0
00:46:55.339495 Out f4:6d:04:65:e7:bf ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 64, id 7223, offset 0, flags [DF], proto TCP (6), length 60)

Da war von deinem PC eine Anfrage an google (IP 172.217.18.174 und der https-Port 443). tcpdump zeigt noch eine ack-Antwort vom google-Server.

[Rubberduck]

Ich hatte mir schon gedacht, dass der nicht immer was anzeigt. Deswegen war ich umso verwunderter, dass der direkt loslegt.
Aber jetzt muss ich erstmal ruhig werden und klar denken. Man neigt ja etwas dazu das Gras wachsen zu hören, wenn man mal alarmiert ist.

Für mich ist immer noch wichtig herauszufinden ob jetzt meine FB einen weg hat oder ich bombardiert werde. Wie gesagt, für den zweiten Fall kann ich mich nicht erwärmen, klingt mir unrealistisch, ausser es ist ein ZUfall.

Die sollen mir bei UnityMedia mal eine neue IP verpassen, mal sehen ob dass dann immer noch so ist. Derweil habe ich auch eine ErsatzFritzBox geliefert bekommen, die werde ich mal dranhängen und schauen ob das Problem dann auch noch besteht.
Viel mehr kann ich kaum machen oder was denkst du?

[mat6937]

Viel mehr kann ich kaum machen oder was denkst du?

Sporadische Anfragen/Portscans (mit dem syn-Flag) aus dem Internet an der TCP-Port 443 (des border device) sind "normal" und kein Grund zur Sorge.

Um das zu sehen musst Du tcpdump mit dem entsprechenden Filter mal über einen längeren Zeitraum laufen lassen:

Code: Alles auswählen

tcpdump -vvveni any tcp dst port 443

Evtl. findet im (W)LAN deiner FritzBox auch noch andere Traffic statt, der eine Verbindung "stören" kann. Teste mal:

Code: Alles auswählen

tcpdump -c 300 -vvveni any arp or icmp or broadcast or multicast

Hast Du in deiner FritzBox evtl. UPnP (noch) aktiviert?

[KBDCALLS]

Schonmal Diagnose Sicherheit und System Ereignisse angesehen ?

[Rubberduck]

Danke für deine Antwort.

Ok, wenn das normal ist alles gut.

Nein Upnp habe ich nicht. Wie gesagt, wenn ich was analysiere, alles ausstecken und mit den geringsten Einstellungen anfangen.
Da ist nichts an, ich leite nur für den Testzweck immer den port 443 weiter.

[spiralnebelverdreher]

Hallo,
seit drei Tagen habe ich zu Hause ein seltsames Phänomen.

Immer wenn ich den Port 443 auf meiner Fritzbox auf eine interne IP weiterleite, ist nach ca 10 Sekunden mein WAN weg.
Fritzbox ist dann meist nicht mehr zu erreichen.

Beende ich bspw. die virtuelle Maschine auf die meine weitergeleitete Adresse zeigt, reaktiviert sich alles wieder.

Werden irgendwo in der FritzBox oder auf deinem Host vielleicht ICMP Typ3 Pakete verworfen, die helfen sollen den optimalen Wert der MTU festzsutellen?

[Rubberduck]

hahaha hey du spiralnebelverdreher ( cooler name btw. )

Das kann ich jetzt gerade nicht sagen und müßte ich genauer prüfen.
Aber was sollte das bedeuten?

Vor allem, das Phänoment tritt ja seit einem bestimmten Abend auf.
Bis dahin hat sich an meiner Konstellation nichts geändert.

---
Ich konnte abends einfach meine Webseite auf meinem Server nicht mehr aktivieren ( docker ), dann ist mir das Gateway weg geflogen, wie schon beschrieben.
Ich dachte erst, es wäre der Server selber, bis ich mich da rangepirscht hatte und das mit der Forwarding Regel festgestellt hatte.
Server an + Forwarding an = GW tot
Server aus + Forwarding an = GW ok
Server an + Forwarding aus = GW ok
---

[mat6937]

Vor allem, das Phänoment tritt ja seit einem bestimmten Abend auf.
Bis dahin hat sich an meiner Konstellation nichts geändert.

Welchen Tarif hast Du bei Unitymedia? Hat Unitymedia evtl. DS-lite bei deinem Anschluss geschaltet?

EDIT:

Oder hat deine FritzBox-cable, zu diesem Zeitpunkt evtl. eine neue Firmware (von Unitymedia) bekommen? Es ist ja nicht deine eigene FritzBox-cable.

[spiralnebelverdreher]

Vor allem, das Phänoment tritt ja seit einem bestimmten Abend auf.
Bis dahin hat sich an meiner Konstellation nichts geändert.

Das ist natürlich ein gutes Argument.
Dennoch: Hast du wirklich ganz genau geprüft, dass im fraglichen Zeitraum auch keine Pakete aktualisiert wurden (zB durch unattended-upgrades)? Ansonsten bleibt dann nur noch die Frage von mat6937 als mögliche Erklärung für des geänderte Verhalten.

Anyway, ich würde mir die Mühe machen, mit wireshark mal im Detail nachzuschauen, was da genau abgeht sobald erstens dein Server angeht und dann zweites das Forwarding aktiviert wird.

[spiralnebelverdreher]

Aber was sollte das bedeuten?

Siehe hier: https://de.wikipedia.org/wiki/Path_MTU_Discovery
Eigentlich würde ich vermuten, dass ein solches Problem nicht zu einer Überlastung der FB führt. Aber wenn sonst alles nicht fruchtet ist es eine Überlegung wert. dass es etwa 10s dauert bis Probleme da sind, kann schon auf viele Verbindungsaufbauversuche hindeuten, die jeder für sich etwas memory konsumieren.

[Rubberduck]

Vor allem, das Phänoment tritt ja seit einem bestimmten Abend auf.
Bis dahin hat sich an meiner Konstellation nichts geändert.

Welchen Tarif hast Du bei Unitymedia? Hat Unitymedia evtl. DS-lite bei deinem Anschluss geschaltet?

EDIT:

Oder hat deine FritzBox-cable, zu diesem Zeitpunkt evtl. eine neue Firmware (von Unitymedia) bekommen? Es ist ja nicht deine eigene FritzBox-cable.

Ich habe - genau wegen der DS-Lite Geschichte - damals meinen Anschluss von normal auf Business umgestellt.
Ich habe demnach einen 150MBit/down und 10Mbit/up Vertrag, der auch genau so in meiner FB angezeigt wird.

Ich benötige die Anschlussart, da ich - selbst in der IT arbeitend - viel von zu Hause über VPN arbeite und gleichzeitig von außen meine Seiten betreue, das könnte ich bei DS-Lite ja nicht mehr, oder nur sehr schwierig.

[mat6937]

Ich habe - genau wegen der DS-Lite Geschichte - damals meinen Anschluss von normal auf Business umgestellt.
Ich habe demnach einen 150MBit/down und 10Mbit/up Vertrag, der auch genau so in meiner FB angezeigt wird.

OK, dann starte mal auf deinem Server und auf einem anderen geeigneten Gerät in dem (W)LAN deiner FritzBox:

Code: Alles auswählen

tcpdump -c 300 -vvveni any arp or icmp or broadcast or multicast

, bevor "Server an + Forwarding an" und beobachte was tcpdump zusätzlich anzeigt, wenn das Forwarding (Portweiterleitung) in deiner FritzBox aktiviert wird.