Floodangriff auf DS

[AXELB]

Hallo liebe Forengemeinde,

edit: habe den text nochmals komplett überarbeitet

ich kämpfe den ganzen Tag schon mit einem Problem undzwar die Nas reagiert auf alles total langsam, ich fand den Fehler nicht, mehrere neustarts und Kabeltauschen hat nichts gebracht, dann bin ich auf eine Idee gestoßen.

Ich habe getestet das Netzwerk kurzzeitig ohne Internet zu betreiben und auf einmal lief alles wieder wie am schnürchen. Kaum ist das Modem wieder am Router dauert es nicht lange und die DS macht einen auf Opa.

Also vermute ich die Nas wird geflootet den der Router leitet alle Anfragen an die Nas weiter. (DMZ Server). //Problem tritt auch auf wenn die Ports nicht mehr alle auf die DS geleitet werden?!?

Leider konnte ich aber nichts aussergewöhnliches via netstat feststellen.

SERVER> netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 SERVER:5000             192.168.1.3:49355       TIME_WAIT   
tcp        0      0 localhost:4700          localhost:58751         ESTABLISHED 
tcp        0      0 localhost:51194         localhost:3493          ESTABLISHED 
tcp        0      0 SERVER:3689             192.168.1.3:49353       ESTABLISHED 
tcp        0 325800 SERVER:3689             192.168.1.3:49361       ESTABLISHED 
tcp        0      0 SERVER:5000             192.168.1.3:49357       TIME_WAIT   
tcp        0      0 localhost:58751         localhost:4700          ESTABLISHED 
tcp        0     16 SERVER:afpovertcp       192.168.1.3:49281       ESTABLISHED 
tcp        0      0 localhost:4700          localhost:59192         ESTABLISHED 
tcp        0    880 SERVER:ssh              192.168.1.3:49316       ESTABLISHED 
tcp        0      0 localhost:59192         localhost:4700          ESTABLISHED 
tcp        0    528 SERVER:afpovertcp       192.168.1.3:49286       ESTABLISHED 
tcp        0      0 localhost:3493          localhost:51194         ESTABLISHED 
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  21     [ ]         DGRAM                    251    /var/run/log
unix  2      [ ]         DGRAM                    1710   /tmp/synologd
unix  2      [ ]         DGRAM                    4937   
unix  3      [ ]         STREAM     CONNECTED     4936   
unix  3      [ ]         STREAM     CONNECTED     4935   
unix  2      [ ]         DGRAM                    4905   
unix  3      [ ]         STREAM     CONNECTED     4904   
unix  3      [ ]         STREAM     CONNECTED     4903   
unix  2      [ ]         DGRAM                    4873   
unix  3      [ ]         STREAM     CONNECTED     4872   
unix  3      [ ]         STREAM     CONNECTED     4871   
unix  2      [ ]         DGRAM                    4841   
unix  3      [ ]         STREAM     CONNECTED     4840   
unix  3      [ ]         STREAM     CONNECTED     4839   
unix  2      [ ]         DGRAM                    4809   
unix  3      [ ]         STREAM     CONNECTED     4808   
unix  3      [ ]         STREAM     CONNECTED     4807   
unix  2      [ ]         DGRAM                    4313   
unix  3      [ ]         STREAM     CONNECTED     4312   
unix  3      [ ]         STREAM     CONNECTED     4311   
unix  2      [ ]         DGRAM                    4030   
unix  3      [ ]         STREAM     CONNECTED     3818   /tmp/.s.PGSQL.5432
unix  3      [ ]         STREAM     CONNECTED     3817   
unix  2      [ ]         DGRAM                    3814   
unix  2      [ ]         DGRAM                    3810   
unix  2      [ ]         DGRAM                    3699   
unix  2      [ ]         DGRAM                    3547   
unix  2      [ ]         DGRAM                    3471   
unix  2      [ ]         DGRAM                    3447   
unix  2      [ ]         DGRAM                    3435   
unix  3      [ ]         STREAM     CONNECTED     3431   /var/state/ups/usbhid-ups-ups
unix  3      [ ]         STREAM     CONNECTED     3430   
unix  2      [ ]         DGRAM                    3423   
unix  2      [ ]         DGRAM                    3415   
unix  3      [ ]         STREAM     CONNECTED     2738   /tmp/.s.PGSQL.5432
unix  3      [ ]         STREAM     CONNECTED     2737   
unix  3      [ ]         STREAM     CONNECTED     2073   /tmp/.s.PGSQL.5432
unix  3      [ ]         STREAM     CONNECTED     2072   
unix  3      [ ]         STREAM     CONNECTED     1698   /tmp/.s.PGSQL.5432
unix  3      [ ]         STREAM     CONNECTED     1697   
unix  2      [ ]         DGRAM                    945    
unix  2      [ ]         DGRAM                    703    
unix  2      [ ]         DGRAM                    253

Auch die CPU und Ram auslastung ist mehr als in ordnung. Der S.M.A.R.T. Check hat auch nichts verlauten lassen.

Irgendwelchen Rat? Mein Latein ist am Ende.

Danke im Vorraus.

 

[jahlives]

Ich habe getestet das Netzwerk kurzzeitig ohne Internet zu betreiben und auf einmal lief alles wieder wie am schnürchen. Kaum ist das Modem wieder am Router dauert es nicht lange und die DS macht einen auf Opa.

Hat denn zu diesem Zeitpunkt das Ergebnis von netstat anders ausgeschaut? Also wenn du es ohne Internetverbindug betrieben hast?
Ich geh mal davon aus, dass die IP 192.168.1.3 dein Client ist mit dem du zugreifst?
Welche Ports hast du am Router weitergeleitet? Hast du denn wirklich eine DMZ mit der DS gemacht? Wenn ja: Dann hast du hoffentlich die Firewall auf der DS aktiviert??!!
Ich würde mal folgendes probieren: Aktivier die Firewall auf der DS und leg eine Regel an, die allen lokalen Clients den kompletten Zugriff erlaubt. Danach verbietest du jeglichen Zugriff für andere Clients ausserhalb deines LANs. Wird es dann auch Opa-mässig oder läuft es dann wie ein Jungspund?
Wobei ich auch keine externen Verbindungen erkennen kann. Was sagt denn netstat -e?

 

[AXELB]

Hallo,

ja die 192.168.1.3 ist mein aktueller Rechner. Der Netstat schaut gleich aus ob ohne oder mit Internet. (auch mit netstat -e). Firewall ist natürlich aktiv. Ist als DMZ gesetzt die DS.

Derzeit läuft es aber mit Internet auch wieder normal (also schnell). Was heute den ganzen Tag los war ist mir immer noch ein Rätsel. Daher es im moment normal läuft kann ich das besagte derzeit nicht testen.

 

[jahlives]

Firewall ist natürlich aktiv. Ist als DMZ gesetzt die DS.

Meinst du jetzt die Firewall auf dem Router oder diejenige auf der DS? Gerade wenn du die DS DMZ-mässig betreibst MUSST du in jedem Fall entsprechende Regeln aufsetzen, die nur genau definierte Ports erlauben.
Sonst kann man eine solche DS mit Verbindungsversuchen auf allen Ports sicher in die Knie zwingen.

 

[itari]

Nur so, damit wir nicht aneinander vorbeireden: DMZ ist der 'unsichere' Bereich. Macht man eigentlich hauptsächlich, wenn man ein mehrstufiges Sicherheitkonzept mit Proxies usw. einrichtet und Server für die interne und externe Welt hat. Normalerweise wird alles an die DMZ-IP weitergeleitet, was der Router bekommt ... da kann schon eine Menge Mist dabei sein, weil (häufig) die Port-Regeln bei einer DMZ nicht mehr gelten.

DMZ heißt: ich krieg Feuer von beiden Fronten

Ich würde meine DS nicht als DMZ-Knoten einsetzen, wäre mir zu heiß.

Itari

 

[jahlives]

Ich würde meine DS nicht als DMZ-Knoten einsetzen, wäre mir zu heiß.

Mit entsprechenden Firewall Regeln auf der DS sollte es schon einigermassen sicher gehen. Allerdings wird auch die Firewall im DMZ unnötige Arbeit verrichten müssen mit Paketen, die sonst vom Router verworfen würden.
Und: Was die meisten (Home)-Router bieten ist ja keine echte DMZ, sondern "nur" ein exposed Host.
Aber ich schliesse mich dir voll und ganz an: Es wäre mir auch zu heiss die DS als exposed Host zu betreiben. Aber jedem das seine, oder?

 

[AXELB]

Meinst du jetzt die Firewall auf dem Router oder diejenige auf der DS? Gerade wenn du die DS DMZ-mässig betreibst MUSST du in jedem Fall entsprechende Regeln aufsetzen, die nur genau definierte Ports erlauben.
Sonst kann man eine solche DS mit Verbindungsversuchen auf allen Ports sicher in die Knie zwingen.

Meine schon die iptables auf der DS aber naja.. die iptables Software Firewall kommt bei einem richtigen DDOS auch nicht mehr hinterher, da braucht man schon ne richtige gescheite Hardware Firewall. Das selbe Problem hatte ich schon öfterem auf meinen Rootservern. Aber dennoch wäre es toll zu wissen was die Schuld war.

 

[itari]

... da braucht man schon ne richtige gescheite Hardware Firewall.

Was ist das, eine Hardware-Firewall?

Normalerweise ist ja eine Firewall einen Protokoll-Inspektion ab der Layer 3. Und meist wird ab der Mitte von Layer2 (und natürlich allen darüberliegenden Layern) alles per Software abgewickelt ... kann mir jetzt gar nicht vorstellen, wie das ohne Software funktionieren sollte

Itari

Randbemerkung: selbst ein Router/Switch ist keine reine Hardware, sondern meist ein kleines embedded System mit Software (dafür wird oft sogar die BusyBox verwendet). Oft sogar mit einem Webserver zum Konfigurieren ...

 

[AXELB]

Du weißt genau was ich meinte ;-) eine "externe Firewall" die was nicht am dem selben Gerät läuft wie das was eigentlich geschützt werden sollte. Also z.b. eine Routing Firewall und nicht das iptables auf der Nas. Das das nicht ganz ohne Software funktioniert dürfte wohl klar sein, immerhin ist das ja das "Gehrin".

 

[TobiasM]

@Topic: Du hast nicht zufällig Filesharing auf der DS am laufen oder im Netzwerk? Das kann schonmal schlimmer wie jeder DOS-Attacke sein.

@HW-Firewall vs SW-Firewall
Ihr habt beide unrecht, eine Firewall sollte immer ein Konzept sein, was bestenfalls auf (e)Papier niedergeschrieben ist und kein Stück Hardware und/oder Software.

 

[Trolli]

...und dann klemmt man das beschriebene Papier zwischen Netzwerkbuchse und LAN-Kabel. Funktioniert garantiert!



Ist von Prinzip her übrigens dann doch eher eine Hardware-Firewall...

 

[itari]

Ist von Prinzip her übrigens dann doch eher eine Hardware-Firewall...

Also ich plädiere dafür, dass das Regelwerk, unter dem die Firewall läuft, als Software anzusehen ist, ist ja sowas wie eine programmatische Deklaration

Itari

PS. Ich hab das mit dem Papier versucht. Also zwischen WLAN-Buchse und WLAN-Kabel funktioniert es bei mir nicht so gut.

 

[Trolli]

Doch doch. Das geht schon. Du musst halt zur Not einen Hammer benutzen, um das Papier ordentlich auf dem WLAN-Adapter festzutackern...

 

[AXELB]

Klappt, gute Idee mit dem Papier. Nun sind alle Ports zu, perfekt.