Skip to main content

Ik heb ook al weken regelmatig last van wegvallende internetverbinding, het forum staat er vol van maar de oorzaak is niet eenduidig te vinden. Zelf heel lang onderzoek gedaan en ik zie uiteindelijk in mijn moden  dat er bij het wegvallen van de verbinding sprake is van honderden dezelfde meldingen in mijn modemlog. (zyxel securitylog)

Hier is er eentje, maar er staan er honderden per seconde met SRC=192.168.2.10:

 

kern    alert    attack    kernel: IN=br0 OUT=nas8_1 MAC=7c:77:16:41:43:80:2c:56:dc:85:03:89:08:00 SRC=192.168.2.10 DST=31.214.234.13 LEN=28 TOS=0x00 PREC=0x00 TTL=62 ID=18749 PROTO=ICMP TYPE=8 CODE=0 ID=27640 SEQ=0 MARK=0x30000000

Wat er dus mogelijk aan de hand is, is dat een apparaat binnenshuis onbedoeld onderdeel is geworden van een bot-netwerk met kwade bedoelingen. (192.168.2.10 is een router binnenshuis)

 

Vervelend dat mijn verbinding steeds op zo'n moment voor ongeveer 20 seconden wordt platgegooid, de oorzaak lijkt dus hier te liggen. Mijn vraag is of meerdere mensen dit probleem herkennen, en wat het beleid van tmobile hiervoor is.

Vooral waarom er zonder waarschuwing de verbinding wordt platgegooid. Een waarschuwing zou enorm helpen bij zoeken naar de oorzaak. Oorzaak kan een van de niet bijgewerkte telefoons op wifi zijn trouwens, dat ga ik verder nog uitvissen hier.

 

 

Hallo @klaaswie 

De meldingen in het logboek daar hoef je je geen zorgen over te maken, de firewall doet zijn werk en houdt alles tegen. Mijn logboek staat ook vol met dezelfde meldingen, deze zorgen niet voor problemen met de verbinding.

Heb je een glasvezel of DSL verbinding? Zo te lezen heb je je eigen netwerk apparatuur aangesloten achter de T-Mobile router, gaat het beter na het herstarten van de mediaconverter en/of router en alle andere netwerk apparatuur verwijderd dus met alleen de T-Mobile router?

En valt de verbinding zowel bedraad als via WiFi weg?


Dank voor je reactie. Het is een dsl verbinding. En het wegvallen is echt de verbinding zelf. Dat heb ik intussen langdurig getest door een logbestandje te maken met ping gegevens. Tegelijkertijd 2 acties gehad: een logbestandje gemaakt vanaf een computer binnen en een buiten de deur. (andere provider) Er is vast komen te staan dat de regelmatige uitval van ongeveer 20 seconden van binnen uit tegelijkertijd te zien is van buiten af.

Voor de beeldvorming: als de gehele verbinding weg is bevriest de tv dus ook.

Je geeft aan dat de firewall zijn werk goed doet. Dat is precies mijn punt, dat denk ik namelijk ook.

Aleen heb ik het nu tijdens dropouts speciaal over zeer veel verkeer naar buiten wat in de log staat vlak voor de verstoring. (IN=br0 OUT=nas8_1)  In mijn beleving is mijn zyxel dan geen firewall meer, maar zit er iets dergelijks in een van de tmobile routers. Daarom ben ik op zoek naar een antwoord op de vraag of een internetaansluiting een poosje op zwart gezet wordt wanneer er een dergelijke actie geconstateerd wordt, of zit dat misschien toch in de zyxel ?

Met alleen de tmobile router kon ik het niet goed testen. Immers kan ik dan niet zien op mn pc wat er gaande is. reset is regelmatig geprobeerd, en ik ben nu dus zo ver dat ik interne dingen stuk voor stuk moet gaan uitzetten om de storingsbron te vinden, als deze er is.

 


@klaaswie

Wat voor een aansluitpunt heb je thuis waarop de modem is aangesloten en is dat ook het enige KPN ISRA punt waarop de KPN kabel is aangesloten of heb je ergens anders ook nog een aansluiting?

Zorg dat je modem op het KPN ISRA punt is aangeslóten en dat er geen aftakking is naar een andere aansluiting of een loze kabel die ook is aangesloten op hetzelfde punt.


Hallo @klaaswie 

De meldingen in het logboek daar hoef je je geen zorgen over te maken, de firewall doet zijn werk en houdt alles tegen. Mijn logboek staat ook vol met dezelfde meldingen, deze zorgen niet voor problemen met de verbinding.

Heb je een glasvezel of DSL verbinding? Zo te lezen heb je je eigen netwerk apparatuur aangesloten achter de T-Mobile router, gaat het beter na het herstarten van de mediaconverter en/of router en alle andere netwerk apparatuur verwijderd dus met alleen de T-Mobile router?

En valt de verbinding zowel bedraad als via WiFi weg?

Dat de firewall zijn werkt doet is leuk, maar 192.168.2.10 is intern in het netwerk van @klaaswie. Staat die router als DMZ gedefinieerd? Dat alle verkeer van 192.168.2.10 komt is logisch als die router ook NAT doet.

De host achter 2.10  stuurt dus ping requests (dat is wat ICMP type 8 is) naar buiten en wordt gestopt. Dat is NIET goed.

Ik heb glasvezel en kan dus niet zien wat die nas8_1 interface is (jammer dat die Zyxel zo is dichtgetimmerd). De firewall laat normaal gesproken icmp verkeer van binnen naar buiten gewoon door. Dat dat hier wordt gedropped is verdacht. Dat suggereert inderdaad een mogelijke besmetting op een van je apparaten.

Het zou kunnen dat het de DOS protectie is die aanspreekt omdat die host wel veel icmp requests stuurt. Of is die 31.214.234.13 icmp maar een voorbeeld? Laat eens een aantal van die drops zien?

Het zou ook kunnen dat er veel verkeer naar de router gestuurd wordt wat veel tijd nodig heeft om verstuurd te worden en daar gebufferd wordt (zoek eens op buffer bloat) en de router gewoon die 20 sec nodig heeft om op adem te komen. Blijft de vraag waar dat verkeer vandaan komt.

Kun je op die 192.168.2.10 router eens een packet trace (tcpdump) doen om te zien welke host tegen 31.214.234.13 probeert te praten? Dat is trouwens iets bij marbis.net waarschijnlijk in Karlsruhe NITRADO-US-EAST.

Valt de DSL verbinding weg als dit optreedt (wereldbol rood) zou ook in system logboek te zien moeten zijn? Ik verrmoed van niet (een DSL retraining duurt veel langer, maar het zou een DHCP probleem kunnen zijn. Zie je ietsover DHCP requests wanneer dit probleem optreedt?

Sorry: veel vragen weinig antwoorden. Dat het bij een T-mobile router gebeurt lijkt me niet aannelijk: dan zou je al een warning moeten hebben gekregen van illegale activiteit.


Dank voor je reactie louisL, en dank voor je goede vragen.
je hebt er meer kijk op dan ik, dat zie ik al.  Dat er een ddos protectie aanspreekt was ook mijn conclusie. De 31.214.234.13 was maar een voorbeeld.  Er worden gedurende ongeveer 24 seconden in totaal ruim 1100 van die meldingen gelogd. Allemaal met een ander DST adres. Ik schat in dat de onderbreking van de lijn al na enkele seconden optreedt. Dus grofweg na een stuk of 50 van deze meldingen.

In mijn zyxel log blijven de leases gewoon geldig (obtained, lease time 1800)

Op mijn router een tcpdump is een goed idee, dan moet ik dat wel net op zo'n moment doen dan.

Overigens …. Op dit moment is een playstation 4 de verdachte …

En de lijn naar buiten is een ouderwetyse koperdraad, modem is zyxel t50


@Wakkas  Het modem hangt als enige aan het ISRA punt, de lijnkwaliteit is niet slecht (noise margins tussen 16 en 20 dbm)

Het blijft overigens lastig om op het juiste moment de bron vast te stellen, wel heb ik nu van twee “aanvalsgolven” kunnen vergelijken wat de targets (DST) waren, de laatste keer waren het 690 unieke ip's waarvan er 569 in een vorige log voor kwamen.  (de log op de zyxel wordt onwijs snel geroteerd)

Al met al blijft mijn eerste vraag nog onbeantwoord en ik zal het voor de leesbaarheid nog even met details herhalen:

Mijn vraag is of meerdere mensen dit probleem van 20 seconden uitval herkennen, en wat het beleid van tmobile hiervoor is als het met uitgaand verkeer te maken heeft.

Vooral waarom er zonder waarschuwing de verbinding wordt platgegooid, door de zyxel of door tmobile?  Een waarschuwing zou enorm helpen bij zoeken naar de oorzaak van de onderbrekingen. 

 


Dank voor je reactie louisL, en dank voor je goede vragen.
je hebt er meer kijk op dan ik, dat zie ik al.  Dat er een ddos protectie aanspreekt was ook mijn conclusie. De 31.214.234.13 was maar een voorbeeld.  Er worden gedurende ongeveer 24 seconden in totaal ruim 1100 van die meldingen gelogd. Allemaal met een ander DST adres. Ik schat in dat de onderbreking van de lijn al na enkele seconden optreedt. Dus grofweg na een stuk of 50 van deze meldingen.

In mijn zyxel log blijven de leases gewoon geldig (obtained, lease time 1800)

Op mijn router een tcpdump is een goed idee, dan moet ik dat wel net op zo'n moment doen dan.

Overigens …. Op dit moment is een playstation 4 de verdachte …

En de lijn naar buiten is een ouderwetyse koperdraad, modem is zyxel t50

Puur uit interesse: zijn dat allemaal icmp type 8 messages? DDOS zou goed kunnen, maar ik ben meer geneigd te denken aan overlopende buffers in je modem. Als die allemaal vol zitten omdat er veel meer verkeer binnenkomt dan je uitgaande DSL kan verwerken krijg je dit soort effecten. Dat een ping vanaf een ander adres ook dezelfde down time laat zien lijkt daarheen te wijzen: een binnenkomende ping wordt ook gedumpt omdat er geen ruimte voor is of komt achter in de wachtrij waar hij vele seconden moet wachten voor hij afgehandeld kan worden, waarbij de zender te lang geen antwoord zit en dus denkt dat de ping verloren is gegaan.

Een extreme versie van wat je ziet bij sommige speedtests die de ping tijden laten zien tijdens test. Dan zie je ook de responsetijden flink oplopen.

Dit probleem lijkt echt in jouw netwerk te zitten. Succes met zoeken!


Intussen ben ik ook tot dezelde conclusie aan het komen: het probleem lijkt in de Zyxel te liggen.  Een Allemaal ICMP TYPE=8  , maar DDOS is niet erg waarschijnlijk. Veel van de aangeroepen adressen hebben denk ik met de playstation te maken, en worden voor een flink deel herhaald bij een volgende outage.

Voor het idee, vooral deze adressen:

176.57.135.140
209.192.227.188
217.114.193.40
31.214.143.x
31.214.234.x
31.214.236.x
31.214.238.x
37.10.98.x
37.10.99.x
5.62.68.x
5.62.70.x
85.190.152.x
95.156.193.x
95.156.209.x
95.156.220.x
 

Voor nu heb ik via via een ander modem geregeld, een fritzbox. Een dezer dagen verwacht ik die hier.

Mocht dat de oplossing zijn, dan is mijn conclusie dat het gebruik van playstations achter de zyxel de 22 seconden uitval veroorzaakt. Woensdag hoop ik meer te weten.


Intussen ben ik ook tot dezelde conclusie aan het komen: het probleem lijkt in de Zyxel te liggen.  Een Allemaal ICMP TYPE=8  , maar DDOS is niet erg waarschijnlijk. Veel van de aangeroepen adressen hebben denk ik met de playstation te maken, en worden voor een flink deel herhaald bij een volgende outage.

Voor het idee, vooral deze adressen:

176.57.135.140
209.192.227.188
217.114.193.40
31.214.143.x
31.214.234.x
31.214.236.x
31.214.238.x
37.10.98.x
37.10.99.x
5.62.68.x
5.62.70.x
85.190.152.x
95.156.193.x
95.156.209.x
95.156.220.x
 

Voor nu heb ik via via een ander modem geregeld, een fritzbox. Een dezer dagen verwacht ik die hier.

Mocht dat de oplossing zijn, dan is mijn conclusie dat het gebruik van playstations achter de zyxel de 22 seconden uitval veroorzaakt. Woensdag hoop ik meer te weten.

Ik ben benieuwd, als het niet DDOS filter gerelateerd is zou het goed kunnen dat mijn theorie van overlopende buffers correct is en bij te veel verkeer uit de playstation bij het vol zitten van  buffers uit puur ellende maar nieuwe binnenkomende paketten weg moet gooien (maar dat wel netjes rapporteert). Een ander modem kan dan minstens wat meer infomatie geven (mogelijk zelfs exact hetzelfde probleem). Laat s.v.p. weten wat je ervaringen zijn. Ik ben altijd op zoek naar meer ervaringen….


Reageer