DoS Attack Meldungen seit Update auf FW 8.62

[rrr]

Seit dem Update zweier LC 1722 auf die FW 8.62 erhalte ich DoS-Attack Mails.

Src ist ein Windows 7 System, Dst ein Kaspersky-Server (Kaspersky Antivirus läuft auch auf dem Windows 7 Rechner):

Code: Alles auswählen

Date: 6/2/2012 20:36:25

The packet below

Src: 192.168.20.21:63824 {terminal21}  Dst: 94.75.236.122:80 (TCP)

MAC-Header (14 Bytes)

   00 a0 57 11 b5 ed 00 0e  a6 1e 6a 96 08 00       | ..W..... ..j...  

IP-Packet (52 Bytes):

   45 00 00 34 06 13 40 00  80 06 d5 2d c0 a8 14 15 | E..4..@. ...-....
   5e 4b ec 7a f9 50 00 50  f6 2f 0a ea 00 00 00 00 | ^K.z.P.P ./......
   80 02 20 00 34 d2 00 00  02 04 05 b4 01 03 03 08 | .. .4... ........
   01 01 04 02                                      | ....             

matched this filter rule: DoS protection
filter info:              possible SYN flooding attack against 94.75.236.122

because of this the actions below were performed:
   reject
   send SNMP trap
   send email to administrator
   block source address for 15 minutes

Hier noch eine weitere Meldung wobei hier Src ein Windows SBS 2003 Server und Dst ein Dell Printer (verbunden per VPN) ist:

Code: Alles auswählen

Date: 6/1/2012 20:42:07

The packet below

Src: 192.168.10.1:10234 {sbserver}  Dst: 192.168.20.13:515 (TCP)

MAC-Header (14 Bytes)

   00 a0 57 11 b7 14 00 30  48 35 44 d2 08 00       | ..W....0 H5D...  

IP-Packet (48 Bytes):

   45 00 00 30 23 d9 40 00  80 06 37 90 c0 a8 0a 01 | E..0#.@. ..7.....
   c0 a8 14 0d 27 fa 02 03  86 4e e5 b8 00 00 00 00 | ....'... .N......
   70 02 ff ff 4d bc 00 00  02 04 05 b4 01 01 04 02 | p...M... ........

matched this filter rule: DoS protection
filter info:              possible SYN flooding attack against 192.168.20.13

because of this the actions below were performed:
   reject
   send SNMP trap
   send email to administrator
   block source address for 15 minutes

Bis zum FW-Upgrade gab es keinerlei solcher DoS-Attacks. Hat noch jemand das gleiche Problem?

[LoUiS]

Hi rrr,

an der DOS und IDS Erkennung hat es tatsaechlich Aenderungen gegeben.
Schau mal in die Tabelle unter "/Status/IP-Router/HO-Conn.-List", werden dort viele halb offene Verbindungen angezeigt?
Setz mal die Limits fuer DOS hoeher. "/Setup/IP-Router/Firewall/Max.-Half-Open-Conns." auf z.B. das Doppelte.


Ciao
LoUiS

[rrr]

Das hilft leider nur kurzfristig weiter.

Bei uns steht aber hinter einem Standort ein Monitoring-Server welcher sowohl Systeme im Internet als auch an entfernten Standorten per VPN überprüft. Fallen jetzt einige zu überwachende Systeme gleichzeitig aus, interpretiert der Lancom das seit der neuen Firmware als einen DoS-Angriff und die HO-Conn.-List füllt sich.

Es bringt ja auch nix die Limits auf utopisch hohe Werte zu stellen, dann kann ich die DoS-Erkennung ja gleich deaktivieren.

Wie gesagt, mit früheren Releases gab es nie Probleme...

[Lars]

Das gleiche Problem habe ich hier auch. In meinem kleinen netz zu hause werden schon Rechner mein Surfen geblockt. Und der Broadcast von einem Linksys SLM2005 nach 224.0.0.1:0 wird as IDS erkannt.

Gruß, Lars

[backslash]

Hi Lars,

ist das mit der aktuellen 8.62.0029RU1 immer noch so?

Gruß
Backslash

[Lars]

Hi Backslash,

ja das Verhalten ist auch mit 8.62.0029RU1 vorhanden.

Gruß, Lars