[gelöst] Eine einzige Webseite nicht immer erreichbar

[Gräfin Klara]

Noch ein Zwischenergebnis:
Ich habe eben im Log der Firewall folgenden Einträge gefunden. Sie korrespondieren zu 100% mit den Abbrüchen.
Der zweite Eintrag erschien, als ich vorhin am Client einen Abbruch provoziert habe.

Idx.  System-Zeit           Quell-Adr  Ziel-Adresse  Prot.   Quell-Port   Ziel-Port  Filterregel     Limit	    Schwelle  Aktion
0001  03.04.2020 14:50:06   192.       195.201.85.4  6       19318        443        DoS protection  00000001    0         Drop
0002  03.04.2020 08:15:27   192.       195.201.85.4  6       22022        443        DoS protection  00000001    0         Drop

Meine Fragen dazu:

• Wieso denn DoS??
• Wieso wird meine Adresse als Source gezeigt und die der aufgerufenen Webseite als Target (und nicht umgekehrt)?
• Hat mich mein Router von einem DoS-Angriff abgehalten und daher die Verbindung abgebrochen?? (ist doch Quatsch)
• Muss man Quelle und Ziel genau anders herum interpretieren?
• Aber selbst dann, die Bude (195.201.85.4) greift mich doch nicht per DoS an.

Gruß,
Radiergummi

Woher/Wohin (Output/Input) sieht du am Port.
Du willst den Dienst 443 (https) = Destinationport bzw. Ziel
Dafür muß dein System ein Port (19318) generieren, ist das Sourceport bzw. Quelle
Dieser Stream wird verworfen.
Bedeutet, DROP bei Output, also DROP deines Streams. Dein router bewahrt dich davor, dass DU einen DDOS Angriff startest.
Ist natürlich Blödsinn und ein Grund, dem auf den Grund zu gehen. Vielleicht ist es das?
Es kann passieren, wenn du z.B. mit nmap unter einer Sek. irgendwas scannst.
Trotzdem muß diese Rule am Output weg.

Sollte das Entfernen dieser Rule am Ausgang der Firewall auch nicht helfen, dann:

# nmap -d1 -Pn -sT -sU -n --scan-delay 1100ms -p "*http*,*whois*,*proxy*,upnp,*snmp*,*ssh*" DEINE_IP

Das sind ca. 100 Ports und soll typische Dienste auf deiner IP finden. Port open heißt Dienst verfügbar.
Wenn gefunden, dann scannen wir auf der ADSL Seite deines routers auf EINEN dieser Dienste.

Gruß
Gräfin Klara

 

[Gräfin Klara]

Router 1
########
Idx.  System-Zeit           Quell-Adr  Ziel-Adresse   Prot.  Quell-Port   Ziel-Port  Filterregel     Limit    Schwelle  Aktion
0041  28.03.2020 12:22:29   192...     138.201.75.252 6      25530        443        DoS protection  00000001 0         Drop

Router 2
########
Idx.  System-Zeit           Quell-Adr  Ziel-Adresse   Prot.  Quell-Port   Ziel-Port  Filterregel     Limit    Schwelle  Aktion
0001  28.03.2020 12:22:30   172...     138.201.75.252 6      58976        443        DoS protection  00000001 0         Drop

[*]Warum führt dieser Aufruf zu Verbindungsabbrüchen auf beiden Routern und nicht nur auf dem "Äußeren", Router 1 wie in allen Fällen oben?

Das sind 2 unterschiedliche Pakete, siehe DEIN source (Quell) port. Jedes Paket erhält von deinem System eine andere Portnummer.
Beide Pakete werden in den Output rules verworfen.
Im Grunde müsste nur der Innere router droppen aber eine Dos/DDos protection unterliegt keinem logischen Filter sondern einem timer.
Ein paar mS Unterschied entscheiden.

 

[gehrke]

Ich glaube, ich verstehe Deine Idee. Bloß, was soll ich in ein solches Skript reinschreiben?
Meinst Du so etwas?

wget auf die Startseite (Abruf eines Beitrags klappt nicht ohne Eingabe von Enter) >> log

Ich bin nicht sicher, ob das eine Chance hätte den Fehler zu produzieren. Versuchen könnte ich es ja mal.

Nun ja, unterdessen sieht es ja so aus, also ob Du auf anderem Wege eine heisse Spur gefunden hast. Daher gehe ich davon aus, dass Du das hier erst mal nicht weiterverfolgen wirst.

Nur kurz zu dem Aspekt 'Abruf eines Beitrags klappt nicht ohne Eingabe von Enter': Ich kenne das konkrete Ziel nicht, aber das hört sich so an, als ob man hier einen POST-Parameter zur Simulation der Eingabe verwenden muss.
Sowohl wget als auch curl können das grundsätzlich.

 

[radiergummi]

Guten Morgen,

ich glaube, den Verursacher - zumindest des Symptoms - gefunden zu haben. Die Router erkennen DoS-Angriffe, indem sie die Anzahl halboffener, d. h. noch in Verhandlung befindlicher Verbindungen überwachen. In der Konfiguration kann man hierzu einen Maximalwert setzen. Wird der erreicht, wird die (oder werden alle?) halboffene Verbindung(en) mit der Source-IP abgebrochen.
Dieser Wert war bei Router 1 auf 100 und bei Router 2 auf 50 eingestellt (dass die Werte nicht gleich waren, geht auf das Konto des Admins). Nachdem der Wert auf Router 2 auf 100 angeglichen wurde, kam es nicht mehr zu Verbindungsabbrüchen. Wenn man den Wert auf bspw. 10 reduziert, kann man sich aus der Router-Konfiguration aussperren. Fragt nicht, woher ich das weiß.

Sollte das Entfernen dieser Rule am Ausgang der Firewall [...]

Der Router hat dafür also keine Regel im herkömmlichen Sinn, sondern einen Schwellwert, der für beide Kommunikationsrichtungen Gültigkeit hat.

[...] auch nicht helfen, dann:

# nmap -d1 -Pn -sT -sU -n --scan-delay 1100ms -p "*http*,*whois*,*proxy*,upnp,*snmp*,*ssh*" DEINE_IP

Das habe ich mal gemacht und andere Ergebnisse erhalten, als ich die vom Heise-Test bekomme. Dem gehe ich heute nach.


So weit, so gut. Ich glaube aber, dass ich nur das Symptom bekämpft habe.

Frage: warum entstehen so viele Verbindungsanfragen?

Danke für all die Hilfe und Denkanstöße! Ich bin froh, den Thread aufgemacht zu haben.

Gruß,
Radiergummi

 

[radiergummi]

Ich habe den Thread jetzt als gelöst markier und zu den Akten gelegt, da in den letzten Tagen alles lief, wie es soll.

Mit Wireshark hatte ich nochmal einzelne Verbindungen vom "Hallo" bis zum "FIN" verfolgt, in der Hoffnung, nicht vollständig ausgehandelte ("halboffene") Verbindungen zu sehen. Ausgangspunkt war das mit "50" zu niedrige Limit in der Routerkonfiguration. Ich erwartete also einige davon irgendwie erkennen zu können. Leider nein.

Ich möchte dabei aber nicht ausschließen, dass ich an der verkehrten Stelle geschaut haben könnte.

Gruß und frohe Ostern,
Radiergummi