Telekom ADSL :: Denial of Service incident detected RateFloodIcmpInput (FW101) => ez mi ez?

# probléma: Telekom ADSL eldobja a WAN-t (LAN marad, eszköz elérhető)
Néha napokig jó, néha egynap 10x is elmegy - visszajön, eseményhez nem köthető (pl.: hányan mire, használják).
Sima családi netetés megy rajta, semmi extra.

# eszköz, modem + router: Sercomm France, Speedport Plus
IPv4 van

# log, minden esetben ezek az események:
2022-05-27 18:55:38 DNSv6-error:The DNSv6 Servers 2001:4c48:1::1 replies Non Existent Domain(3). (P008)
2022-05-27 18:55:38 IPv6 Address sent 2001:4c4e:1160:c6dd::/64 to LAN (ME104)
2022-05-27 18:55:38 IPv6 connection 2001:4c4e:1160:c600::/56 could be established.IPv6 Prefix received. (P005)
2022-05-27 18:55:30 From internet service provider transferred WAN IPv6 address: 2001:4c4e:1:5f9c:fc0a:f847:7a5:162 (P001)
2022-05-27 18:55:27 Time Server v6 successfully connected and time synchronization achieved. (NT101)
2022-05-27 18:55:14 Time Server v6 successfully connected and time synchronization achieved. (NT101)
2022-05-27 18:55:11 Internet connection successfully established. (R010)
2022-05-27 18:55:11 From internet service provider transferred Gateway IP address: 5.187.236.242 (R022)
2022-05-27 18:55:11 Timeout during PPP initialization. (IPCP) (R023)
2022-05-27 18:55:10 From internet service provider transferred Gateway IPv6 address: fe80::4255:39ff:fe68:247a (P002)
2022-05-27 18:55:05 Connection to the Internet has been terminated. (R009)
2022-05-27 18:55:05 Denial of Service incident detected RateFloodIcmpInput (FW101)

Hétfőn beszélek a Telekomal, de esetleg van valakinek tapasztalata / tippje 
ezzel kapcsolatban? Előre is köszi! :-]

Hozzászólások

"2022-05-27 18:55:05 Denial of Service incident detected RateFloodIcmpInput (FW101)"

Ebben benne van minden :) szerintem nézz szét a hálózaton csücsülő gépek között, mely botnet részévé lettek

// Happy debugging, suckers
#define true (rand() > 10)

Alulról felfelé kell olvasni a logot. Valami ICMP flood miatt bontja a kapcsolatot. Az ICMP nem csak ping lehet :-) Lehet akár Router Advertisement vagy sok egyéb. Azt mondod, hogy csak az IPv6 szakad meg?

IPv4 publikus címem van, szerintem nem NAT-olt.
what is my ip => 5.187.231....

<< Azt mondod, hogy csak az IPv6 szakad meg?
Teljes PPPoE-t bontja, net teljesen megszakad.
Vagy másra gondoltál? Köszi!

# plusz infó:

Type: Route
Connection Name: Internet_VDSL
Transfer Mode: PTM
VLAN: 32
IP Version: IPv4/IPv6
NAT: Enabled
IPv4 Connection Status: Connected
IPv4 Online Duration: 01:00:48
IP: 5.187.....
Default Gateway: 145.236.238.17
DNS: 84.2.46.1/84.2.44.1
IPv6 Connection Status: Connected
IPv6 Online Duration: 01:00:49
Default Gateway: fe80::4255:...
LLA: fe80::49bd:...
GUA: 2001:4c4e:1:592b:...
Assigned LAN Prefix: 2001:...
Usable LAN Prefix: 2001:4c4e:...
DNS: 2001:4c48:...

# RHE, Rocky, NethServer, MBP14

'Denial of Sevice = Szolgáltatásmegtagadás' szóval ez teljesen korrekt, tényleg ezt csinálják. Jó kérdés, hogy miért.

Time Server v6 successfully connected and time synchronization achieved.

Nem lehet esetleg, hogy a routeredben be van kapcsolva a time server (ntpd) abban nincsen védelem, és frankón "hasznos" része lesz amplification attack-nek?

Ugye ez a támadás mód arról szól, hogy a szervernek olyan UDP csomagokat küldenek, ahol a feladó címe hamisított (a támadott ipcím van beleírva), ilyen módon elküldenek 100 byte-ot request-et a servernek, a server pedig 4-500-byte-os választ küld a támadott félre, azaz olyan 4-5x "erősítés" történik.

Igen, persze, MikroTik-en tudom tűzfalból kezelni.

Ellenben a Telekomos "Sercomm France, Speedport Plus" eszközön nincs ilyen opció. ;-]
Kikapcsolni sem lehet, annyi az összes lehetőség, hogy törlöm az ntp.telekom.hu -t.
Igazából sok mindent nem is lehet benne állítani, egyszerű kis modem+router.

# RHE, Rocky, NethServer, MBP14

az akkor csodálatos, ha kikapcsolni nem tudod, és korlátozni sem...
1) érdemes volna megnézni, h bekapcsolt állapotban külső hálózatból nézve (érdemben) válaszol-e (azaz tényleg jól tippeltem)
2) ha igen, akkor jelezni Telekomnak mert vélhetően nem egyedi eset, és ha más nem, központi tűzfalazással tud védekezni ellene
3) ha nem állítasz be neki servert, akkor is válaszol-e. Ha igen, akkor tényleg az egyetlen biztonságos út előre, ha passthru-ba kapcsolod és beteszel egy saját routert.

Esetleg ehhez lehet köze, vagy tudja valaki, hogy hol lehet erről további információt elérni?

Telekom nemzetközi probléma
Szombat, 28. Május, 2022 19:54
Sajnos a Magyar Telekom otthoni internet hálózatán problémák vannak a külföldi internet stabilitásával, főleg Németország irányába, így akinek valamelyik német OVH-s szerverünkön van a TS3 szervere, problémák léphetnek fel, magas packet loss, robot hang, stb.