Hallo,
ich habe in ein 1906VA DoS aktiviert. Sehr erfolgreich. Die Aktionen habe ich in syslog protokolliert und die IP-Adressen dann in der Firewall einer Behandlung unterzogen. Funktioniert nach meiner Meinung einwandfrei.
Manche Systeme in meinem Netz melden sich in bestimmten Situationen mit einer STANDARD IP-Adresse. So versucht z.B. mein Windows PC in bestimmten Situationen einen DHCP-Reqest und nutzt dabei die Absenderadresse 169.254.x.x. (wechselt).
Wie kann ich DoS konfigurieren, dass in dem Fall weder der Port noch die IP-Adresse blockiert werden soll.
Anmerkung: Da der DHCP-Port des Routers dadurch blockiert wird, könnenn sich auch keine anderen Geräte anmelden bzw. wenn zufällig die DHCP Leasetime ausläuft, wird auch der Request blockiert und wieder der Port für weitere x-Minuten blockiert und das kann sich hochschaukeln.
DoS konfigurieren
Moderator: Lancom-Systems Moderatoren
Re: DoS konfigurieren
Hi averlon,
Desweiteren können APIPA-Adresen nicht "von außen" (sprich aus anderen Netzen) erreicht werden, weshalb auch gar keine explizite "Blockierung" stattfinden muß - das passert allein schon aufgrund der Routing-Grundlagen...
D.h. wenn du tatsächlich APIPA-Adressen in in deinem Netz siehst, dann weißt du, das etwas nicht stimmt - und es ist korrekt, daß das IDS sich da bemerkbar macht.
Und nein: Es ist keine Lösung einfach sein LAN in das 169.256.0.0/16 Netz zu stellen... Das würde vermutlich zwar das IDS stummschalten, die Rechner kämen aber trotzdem nicht ins Internet, weil APIPA-Netze keine Gateways kennen und somit auch kein Rouiting stattfinden kann (die Rechner in dem Netz wüßten nicht wohin sie die Pakete schicken sollen)
Gruß
Backslash
gar nicht, denn das sind APIPA-Adressen und die dürfen in einem "normalen" Netz gar nicht vorkommen - schon gar nicht bei DHCP-Anfragen (da muß die Quell-IP 0.0.0.0 und die Ziel-IP 255.255.255.255 sein)Wie kann ich DoS konfigurieren, dass in dem Fall weder der Port noch die IP-Adresse blockiert werden soll.
Desweiteren können APIPA-Adresen nicht "von außen" (sprich aus anderen Netzen) erreicht werden, weshalb auch gar keine explizite "Blockierung" stattfinden muß - das passert allein schon aufgrund der Routing-Grundlagen...
D.h. wenn du tatsächlich APIPA-Adressen in in deinem Netz siehst, dann weißt du, das etwas nicht stimmt - und es ist korrekt, daß das IDS sich da bemerkbar macht.
Und nein: Es ist keine Lösung einfach sein LAN in das 169.256.0.0/16 Netz zu stellen... Das würde vermutlich zwar das IDS stummschalten, die Rechner kämen aber trotzdem nicht ins Internet, weil APIPA-Netze keine Gateways kennen und somit auch kein Rouiting stattfinden kann (die Rechner in dem Netz wüßten nicht wohin sie die Pakete schicken sollen)
Gruß
Backslash
Re: DoS konfigurieren
Hallo Backslash,
ich kann Windows 11 ja nicht ändern.
Nach meiner Erkenntnis, und die betrifft auch schon ältere Windows Versionen, versucht der LAN-Adapter via DHCP eine IP-Adresse zu erhalten und wenn das in gewisser Zeit nicht funktioniert - aus welchem Grund auch immer - dann wird dem Adapter eine STANDARD IP-Adresse vergeben.
In meinem Fall 169.254.... und versucht dann ins Internet zu kommen.
Geht auch das nicht, wird die STANDARD IP-Adresse noch einmal geändert.
Die Versuche identifiziert der Router als IDS.
Ich habe jetzt schon die Blockierung des Ports weggenommen.
Auch habe ich das Netz 169.254/16 im Router als Netz definiert und sogar DHCP konfiguriert (mit 0 Adressen im Pool).
Scheint aber nicht zu greifen. Muss noch etwas mehr testen.
ich kann Windows 11 ja nicht ändern.
Nach meiner Erkenntnis, und die betrifft auch schon ältere Windows Versionen, versucht der LAN-Adapter via DHCP eine IP-Adresse zu erhalten und wenn das in gewisser Zeit nicht funktioniert - aus welchem Grund auch immer - dann wird dem Adapter eine STANDARD IP-Adresse vergeben.
In meinem Fall 169.254.... und versucht dann ins Internet zu kommen.
Geht auch das nicht, wird die STANDARD IP-Adresse noch einmal geändert.
Die Versuche identifiziert der Router als IDS.
Ich habe jetzt schon die Blockierung des Ports weggenommen.
Auch habe ich das Netz 169.254/16 im Router als Netz definiert und sogar DHCP konfiguriert (mit 0 Adressen im Pool).
Scheint aber nicht zu greifen. Muss noch etwas mehr testen.
Gruß
Karl-Heinz
Karl-Heinz
Re: DoS konfigurieren
Hi averlon,
Wie gesagt: APIPA kennt kein Gateway. APIP-Adressen sind vergleichbar mit den link-lokalen Adressen aus IPv6. Sie gelten nur auf dem einen Link - sind also nicht routbar und können somit auch nicht ins Internet kommen
Gruß
Backslash
Das ist zwar korrekt, heißt aber auch, daß der Windows-Rechner keine IP-Adresse per DHCP bekommen hat - und ganau das ist der Fehler, dem du nachgehen und beheben mußt. Das Abschalten der IDS-Meldungen behebt das Problem ja nicht - es klebt höchstens ein Pflaster drauf...Nach meiner Erkenntnis, und die betrifft auch schon ältere Windows Versionen, versucht der LAN-Adapter via DHCP eine IP-Adresse zu erhalten und wenn das in gewisser Zeit nicht funktioniert - aus welchem Grund auch immer - dann wird dem Adapter eine STANDARD IP-Adresse vergeben.
Windwos nimmt immer APIPA-Adsressen (das sind ja genau die 169.254.x.x-Adressen)In meinem Fall 169.254....
nein, genau das macht Windows nicht - weil es keine Möglichkeit gibt in Internet zu kommen.und versucht dann ins Internet zu kommen.
Wie gesagt: APIPA kennt kein Gateway. APIP-Adressen sind vergleichbar mit den link-lokalen Adressen aus IPv6. Sie gelten nur auf dem einen Link - sind also nicht routbar und können somit auch nicht ins Internet kommen
auch das stimmt nicht. Die APIPA-Adresse ändert sich dann, wenn es einen Konflikt gibt - sprich, wenn sich im selben Netz ein weiterer Host die gleiche Adresse ausgewählt hat (also auf die ARP-Probe antwortet). Wenn das Windows sich einmal eine APIPA-Adresse ausgewählt hat, bleibt sie konstant. Es könnte höchstens sein, daß Windoes nach einem erneuten Vesuch eine Adresse per DHCP zu beziehen sich eine neue APIPA-Adresse auswürfelt, wenn das wiederum scheitert.Geht auch das nicht, wird die STANDARD IP-Adresse noch einmal geändert.
Gruß
Backslash
Re: DoS konfigurieren
Hallo Backslash,
Logischerweise ist die IP-Adresse noch der anderen MAC-Adresse zugeordnet und dadurch bekommt der Adapter keine IP-Adresse via DHCP und das verursacht das mit den APIP-Adressen.
Das Umstecken des LAN-Kabels ist ein Sonderfall. Soll sehr selten vorkommen. Trotzdem soll es funktionieren.
Ich denke, ich habe auch schon eine Lösung - vielleicht. Mal sehen.
Die Ursache ist bekannt. Ich stecke mein LAN-Kabel von der THUNDERBOLT in den LAN-Anschluss des Gerätes. Beide MAC-Adressen sind der gleichen IP-Adresse zugeordnet. (hat bestimmte Gründe und muss so bleiben).und ganau das ist der Fehler, dem du nachgehen und beheben mußt. Das Abschalten der IDS-Meldungen behebt das Problem ja nicht - es klebt höchstens ein Pflaster drauf...
Logischerweise ist die IP-Adresse noch der anderen MAC-Adresse zugeordnet und dadurch bekommt der Adapter keine IP-Adresse via DHCP und das verursacht das mit den APIP-Adressen.
Das Umstecken des LAN-Kabels ist ein Sonderfall. Soll sehr selten vorkommen. Trotzdem soll es funktionieren.
Ich denke, ich habe auch schon eine Lösung - vielleicht. Mal sehen.
Gruß
Karl-Heinz
Karl-Heinz
-
GrandDixence
- Beiträge: 1149
- Registriert: 19 Aug 2014, 22:41
Re: DoS konfigurieren
Im LANCOM-Router die Unterstützung vom Broadcast-Bit im DHCP-Server aktivieren. Und danach unter Windows mit # ipconfig /release und # ipconfig /renew die IPv4-Adressvergabe und die Verlängerung der Mietdauer (DHCP-Refresh) "durchtesten". Dabei mit # ipconfig /all die Mietdauer der ausgeliehenen IPv4-Adresse beobachten. Beim DHCP-Refresh versucht der DHCP-Client die Mietdauer (lease time) der vom DHCP-Server ausgeliehenen IPv4-Adresse zu verlängern. Unterer Teil von meinem Beitrag unter:
fragen-zur-lancom-systems-routern-und-g ... ml#p104994
beachten.
Mit:
# ipconfig /release
wird die ausgeliehene IPv4-Adresse an den DHCP-Server zurückgegeben. Mit:
# ipconfig /renew
wird ein DHCP-Refresh durchgeführt, wenn bereits eine IPv4-Adresse vom DHCP-Server ausgeliehen wurde. Andernfalls wird vom DHCP-Client eine neue, ausleihbare IPv4-Adresse beim DHCP-Server angefordert. Siehe auch: # ipconfig /? und:
https://learn.microsoft.com/en-us/windo ... s/ipconfig
Windows 10 hat Probleme beim DHCP-Refresh (/renew), wenn die IP-Adresse des DHCP-Servers nicht identisch mit der Gateway-Adresse ist (mit # ipconfig /all kontrollieren). Bei Windows 11 ist dieser Microsoft-Programmierfehler sehr wahrscheinlich immer noch enthalten.
Routingtabelle von Windows mit # route -4 print kontrollieren.
https://de.wikipedia.org/wiki/Routingtabelle
Viel Erfolg bei der Fehlereingrenzung und Fehlerbehebung!
fragen-zur-lancom-systems-routern-und-g ... ml#p104994
beachten.
Mit:
# ipconfig /release
wird die ausgeliehene IPv4-Adresse an den DHCP-Server zurückgegeben. Mit:
# ipconfig /renew
wird ein DHCP-Refresh durchgeführt, wenn bereits eine IPv4-Adresse vom DHCP-Server ausgeliehen wurde. Andernfalls wird vom DHCP-Client eine neue, ausleihbare IPv4-Adresse beim DHCP-Server angefordert. Siehe auch: # ipconfig /? und:
https://learn.microsoft.com/en-us/windo ... s/ipconfig
Windows 10 hat Probleme beim DHCP-Refresh (/renew), wenn die IP-Adresse des DHCP-Servers nicht identisch mit der Gateway-Adresse ist (mit # ipconfig /all kontrollieren). Bei Windows 11 ist dieser Microsoft-Programmierfehler sehr wahrscheinlich immer noch enthalten.
Routingtabelle von Windows mit # route -4 print kontrollieren.
https://de.wikipedia.org/wiki/Routingtabelle
Viel Erfolg bei der Fehlereingrenzung und Fehlerbehebung!