Skip to main content

Waarom worden bepaalde acties van mijn Ring deurbel of Ring camera gezien als PING OF DEATH door mijn T-54 modem?

192.168.2.3: Ring Video Doorbell Pro 2
192.168.2.164: Ring Floodlight Cam (1st Gen)

1    Aug 23 08:40:09    kern    alert    attack    kernel: PING OF DEATH ATTACK:IN=br0 OUT=ptm0.3 MAC=<knip> SRC=192.168.2.3 DST=34.250.114.247 LEN=4460 TOS=0x00 PREC=0x00 TTL=63 ID=21008 PROTO=ICMP TYPE=8 CODE=0 ID=9154 SEQ=3
2    Aug 23 08:40:05    kern    alert    attack    kernel: PING OF DEATH ATTACK:IN=br0 OUT=ptm0.3 MAC=<knip> SRC=192.168.2.3 DST=34.250.114.247 LEN=4460 TOS=0x00 PREC=0x00 TTL=63 ID=20708 PROTO=ICMP TYPE=8 CODE=0 ID=9154 SEQ=2
3    Aug 23 08:40:04    kern    alert    attack    kernel: PING OF DEATH ATTACK:IN=br0 OUT=ptm0.3 MAC=<knip> SRC=192.168.2.3 DST=34.250.114.247 LEN=4460 TOS=0x00 PREC=0x00 TTL=63 ID=20585 PROTO=ICMP TYPE=8 CODE=0 ID=9154 SEQ=1
4    Aug 23 07:31:15    kern    alert    attack    kernel: PING OF DEATH ATTACK:IN=br0 OUT=ptm0.3 MAC=<knip> SRC=192.168.2.164 DST=46.51.152.54 LEN=4460 TOS=0x00 PREC=0x00 TTL=63 ID=25883 PROTO=ICMP TYPE=8 CODE=0 ID=16515 SEQ=3
5    Aug 23 07:31:13    kern    alert    attack    kernel: PING OF DEATH ATTACK:IN=br0 OUT=ptm0.3 MAC=<knip> SRC=192.168.2.164 DST=46.51.152.54 LEN=4460 TOS=0x00 PREC=0x00 TTL=63 ID=25791 PROTO=ICMP TYPE=8 CODE=0 ID=16515 SEQ=2
6    Aug 23 07:31:13    kern    alert    attack    kernel: PING OF DEATH ATTACK:IN=br0 OUT=ptm0.3 MAC=<knip> SRC=192.168.2.164 DST=46.51.152.54 LEN=4460 TOS=0x00 PREC=0x00 TTL=63 ID=25745 PROTO=ICMP TYPE=8 CODE=0 ID=16515 SEQ=1

Doordat T-54 modem deze acties verdacht vindt, zorgt dat er voor dat ik e-mails krijg vanuit het beveiligingslogboek met daarin:

"Your device is under attack.

Send at Fri Aug 23 08:40:04 2024"

Hallo @ed-win 

Staat er misschien iets open in je router naar de deurbel en camera? Meestal is dit een botnet die probeert binnen te dringen in je thuisnetwerk maar de firewall blokkeert al deze pogingen en daar zie je meldingen van terug, op zich niet iets om je zorgen over te maken.

Ik zie dezelfde meldingen in mijn log maar ze kunnen verder geen kwaad.


Er staat niks open in mijn router naar de deurbel en/of camera.

De acties komen ook niet van een botnet van buitenaf zoals je kunt zien, maar juist van de Ring apparaten op mijn (guest) netwerk: SRC=192.168.2.3

Ik maak me ook niet direct zorgen, maar het maakt wel dat ik niet kan vertrouwen op de mailtjes die ik krijg vanuit het beveiligingslogboek, omdat daar de indruk wordt gewekt dat mijn systeem “under attack” zou zijn.

Zijn er meer mensen die deze zelfde meldingen hebben, veroorzaakt door hun Ring doorbell of camera?


die ring systemen, gebruiken die cloudopslag? daar zullen ze beelden op willen slaan? En wellicht wordt die communicatie (mogelijk eerst een paar lange pingetjes) gezien als attack? 


@ed-win 

Wij hebben hier thuis wel een OnePlus telefoon waarvan het interne IP achter SRC staat in die attack meldingen maar zoals gezegd merk ik er verder niks van.


Bedankt voor jullie reacties.

Ik snap best dat bepaalde apparaten voor bepaalde functies een ping gebruiken, maar dan blijft mijn vraag: waarom ziet het Zyxel modem deze (paar?) pings dan als PING OF DEATH?


@ed-win 

Volgens het internet zijn Ping of Death attacks geen gewone pings maar gaat het om 'oversized' data pakketten.


@Waqqas natuurlijk kan het best dat het hier om oversized data pakketten gaat, maar voert mijn Ring doorbell daarmee een actie uit die voor het modem reden is om een paar keer per dag een e-mail te versturen met daarin “Your device is under attack.”?


@Waqqas natuurlijk kan het best dat het hier om oversized data pakketten gaat, maar voert mijn Ring doorbell daarmee een actie uit die voor het modem reden is om een paar keer per dag een e-mail te versturen met daarin “Your device is under attack.”?

blijkbaar…. en het komt vaker voor, bv hier: Anyone get similar alerts? Coming from my Ring doorbell camera : r/TPLink_Omada (reddit.com)

 


Reageer