Nummer Serie DS413 erzeugt scheinbar ohne Grund traffic

Aller Geräte der Nummer-Serie (ohne j, + und xs Zusatz). Geräte für Privatanwender bis hin zu Firmenarbeitsgruppen
Status
Für weitere Antworten geschlossen.

Dirt

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Hallo,
Gestern ist mir aufgefallen das meine DS413 ohne ersichtlichen Grund aufgewacht ist!
Als ich mich anschließend an der DSM Oberfläche angemeldet habe war kein Zugriff/Login zu sehen.
Darauf habe ich mal der Fritz!Box angemeldet und sah das der Internetverkehr bei 16.000 im Downstream und ca. 400 kbits im Upstream lag.
Der Nas-Server meldete jedoch keinen Netzwerkverkehr dieser Größenordnung!
Das es sonst keine anderen Geräten sein konnten habe ich das Nas neugestartet,
woraufhin der Internetverkehr wieder auf 0 zurückging!
Kann trotz der Protokolle die nichts gemeldet haben, meine DS trotzdem "gehackt" worden sein?
Kann es irgendwas mit der Umstellung auf IP V6
zu tun haben?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Kann es irgendwas mit der Umstellung auf IP V6 zu tun haben?
Hast Du Dual Stack (also IPv4 und IPv6) bzw. Dual Stack Light (über Kabel) oder natives IPv6, bspw. von der Telekom? Wenn Dein Router unangefragten IPv6-Verkehr von außen nicht komplett blockt, dann steht die DS damit völlig frei im Netz. Welche Dienste hast Du denn so laufen? Gibst es ansonsten Portweiterleitungenin der Fritzbox? Dienste für IPv6 für die DS lokal offen? Ist die Firewall der DS aktiv?
 

Dirt

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Das wurde "neulich" von Kabel Deutschland umgestellt! Ich habe das erst vor wenigen Tagen gemerkt.
Habe eine IPV6 Adresse und eine IPV4.
Die Firewall der DS ist zur Zeit auf alles Blockieren eingestellt!
Vorher war sie aus! Da man mir sagte die Firewall der FB6360 Reiche aus.
VPN,FTP,Audio/Videostation
Für die beiden ersten waren auch die Ports im
Router geforwarded!
An der DS habe ich bezüglich IPV6 nichts eingestellt...
Sie hat jedoch auch eine IPV6 bekommen...
Was muss ich jetzt tuen? Kann das ein Angriff gewesen sein?
 

Dirt

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Wie kann ich herausfinden ob er sie blockt? Wo kann ich das einstellen?
Ist diese Einstellung automatisch aktiv?
In den Protokollen der DS war auf jeden nichts zu sehen... Kein Login versuche etc.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Du solltest zunächst einmal die Firmware der Fritzbox auf den letzten Stand bringen, wenn das noch nicht geschehen ist - dort sollte ungefragter IPv6-Verkehr geblockt werden! Dort kann man dann auch - analog den alten Portfreigaben bei IPv4 - einzelne Dienste an Geräte im LAN offen schalten. Du hast dann vermutlich das DualStack Light - also keine wirklich öffentliche IPv4-Adresse, die dient nur KD-internen Zwecken, ist also eine "private" Adresse. Von außem bist Du nur noch über die IPv6-Adresse zu erreichen, die Dein Anschluss zugeteilt bekommt.
 

Dirt

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Ich kann die leider nicht selbstständig updaten, dies wird von KD gemacht.
Worunter genau stelle ich das ein? Also IPV6 blocken.
Muss ich noch was an der DS bezüglich IPv6 umstellen?
Ist es überhaupt möglich das ich das die DS keinen Netzwerkverkehr anzeigt (Im Systemmanager) und trotzdem welchen produziert?
 

Dirt

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Ich meine im Ressourcenmonitor...
Oder kann es doch nur irgendein anderes Gerät gewesen sein?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

ing-michel

Benutzer
Mitglied seit
19. Sep 2008
Beiträge
160
Punkte für Reaktionen
0
Punkte
16
Moin,

habe das heute auch nicht erklärbaren Traffic an meiner 412+ ferstgestellt.

Das liegt bei mir an der neuen Cloud-Station Version. Es sollen auf dem hiesigen Client nicht alle Ordner gesynct werden. Alle gewünschten Ordner sind laut CS aktuell - aber trotzdem erzeugt der CS-Client volle kanne Traffic (bei mir mit aller Kraft über den Tunnel zur DS).

Läuft bei Dir auch der CS-Client?

Gruß
Michel
 

Dirt

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Die Cloudstation habe ich nicht aktiviert :(
Wie gesagt dieser Traffic der mir gestern gezeigt wurde war auch nur auf der Fritz Box ersichtlich ob er zu 100% der DS zuzuordnen ist weiß ich leider nicht! Die DS selber zeigt keine Aktivitäten jedoch als ich sie ausschaltete war der Netzwerkverkehr ins Internet auch weg!
Daher denke ich das es was mit der DS zu tun hat, kann mich aber auch irren!
Nehme jetzt gerade mal mit der Fritz!box im "Capture Modus" die Daten die gesendet werden auf, werde sie dann so weit ich das hinbekomme mit whireshack auswerten.
Kann mir jemand sagen wie ich damit eine schnelle klare Zusammenfassung bekomme wie viel Mb traffic welches Gerät zu welcher IP welchen Traffic erzeugt hat?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Es geht genau um die Fernkonfiguration, die sich Anbieter bei OEM-Fritten freischalten.
 

trininja

Benutzer
Mitglied seit
03. Jan 2014
Beiträge
446
Punkte für Reaktionen
0
Punkte
0
Die Fritten bei Kabel Anbietern sind etwas anderst gestrickt als DSL Fritten. IPv6 eingehend wird von Haus aus blockiert, erst seit 5.50 oder 6.0 ist die Firewall auch rudimentär einstellbar, vorher wurde alles geblockt. Teredo wird bei Fritten grundsätzlich seit 5.50 voll blockiert, erst seit 6.0 kann man es auch erlauben.

An den internen Fernkonfigurations Zugang kommt man nicht ran, da dieser auf das Netzinterne Interface auf dem DOCSIS Strom läuft (Im Kabelnetz sind alle Modems auf einer CMTS mit internen LAN IPs ansprechbar für SNMP Abfragen/Fernabfrage/Diagnose.) und nicht über die WAN IP angesprochen werden kann. Auch nicht vom normalen LAN aus. Dazu müsste man theoretisch seine FB knacken und von der Fritte aus per Terminal über die DOCSIS Protokolleben andere Fritten suchen/angreifen, was aber schon aus dem Grunde nicht geht, da jede Änderung an der Kabel Fritte diese unbrauchbar macht, da die MD5 Prüfsumme nicht mehr stimmt und somit die CMTS die Fritte abweisst.

Würde mir mal evtl. überlegen, die DS mal über nach an einen PC zu hängen und ein wenig zu Wiresharken was da passiert.
 

Dirt

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Okay dann bin schon mal ein wenig beruhigt.
Nur was ich nicht verstehe ist dieser Zusammenhang das mir im Ressourcenmonitor nichts angezeigt wurde, der Traffic in der FB aber aufhörte als ich die DS herunterfuhr. Ist es möglich das mir der Traffic in der DS nicht angezeigt wird? Auch die Festplatte zeigte zu dem keine Schreib/Lesezugriffe?
Vielleicht bin ich ja auch auf dem Holzweg und es war ein ganz anderes Gerät?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat