SSDP-Dienst mit DDoS-Reflection angegriffen

*kw* · 09. Jul 2024

@Adama: Ich schrieb oben auch "im Zweifel". Grundsätzlich gebe ich dir Recht, aber bei der "unbeaufsichtigten Eingangslage", sprich Ports, über einen längeren Zeitraum könnte man drüber nachdenken, wenn ein Backup (unveränderbarer) Daten vorliegt.

Anzeige · 09. Jul 2024

Hallo festigrat,

Bücher und Hardware zum Thema gibt es bei Amazon: SSDP-Dienst mit DDoS-Reflection angegriffen

festigrat · 09. Jul 2024

OK. Das würde es für mich ja sehr vereinfachen!

festigrat · 09. Jul 2024

*kw* schrieb:
@Adama: Ich schrieb oben auch "im Zweifel". Grundsätzlich gebe ich dir Recht, aber bei der "unbeaufsichtigten Eingangslage", sprich Ports, über einen längeren Zeitraum könnte man drüber nachdenken, wenn ein Backup (unveränderbarer) Daten vorliegt.

Das stimmt natürlich auch wieder. Da waren über einen großen Zeitraum mehrere Ports offen. Ein Backup der einzelnen Dateien habe ich natürlich. Synology photos müsste neu aufgesetzt werden. Der Rest wäre im Prinzip einfach.

ctrlaltdelete · 09. Jul 2024

Ich dachte die Ddos ging von der DS aus?

Ulfhednir · 09. Jul 2024

Ausgehend von der Fragestellung und den Aussagen kann das alles mögliche im Netzwerk gewesen sein.

festigrat · 09. Jul 2024

Ich weiß auch nicht, von wem der Angriff ausging. Ich dachte, er kam von außen. Hier ist der Text des Briefes von meinem Provider:

Das Simple Service Discovery Protocol (SSDP) ist ein Netzwerk-protokoll, welches zur Suche nach UPnP-Geräten im Netzwerk dient.
In den letzten Monaten wurden Systeme, welche SSDP-Anfragen aus dem Internet beantworten, zunehmend zur Durchführung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter missbraucht.
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzwerk. Der Zeitstempel (Zeitzone UTC) gibt an, wann der offene SSDP-Dienst identifiziert wurde.
Offene SSDP-Dienste Port: 1900 | Server: Synologoy/DSM/ IP-Adresse

maxblank · 09. Jul 2024

In meinen Augen nur eine Warnung vom Provider, dass der Port bei dir offen war und ggfls. zu Angriffen auf andere Systeme missbraucht werden kann, aber nicht, dass dies bei dir der Fall gewesen wäre.
Ansonsten wäre dein Anschluss schneller zu gewesen als du Telekom sagen kannst.

*kw* · 09. Jul 2024

@festigrat: wenn du die neuen Informationen einigermaßen einordnen und von einer Neuinstallation absehen kannst, solltest du wenigstens die im Leitfaden aufgeführten "Hausaufgaben" machen und ggf. nachfragen.

Synchrotron · 09. Jul 2024

DDoS Reflection heißt, der Malwareserver veranlasst andere, im Internet erreichbare Server eine Anfrage zu beantworten. Dabei wird aber als Antwortadresse nicht die korrekte angegeben, sondern die des DDoS-Ziels.

Damit wird dieses Ziel von unterschiedlichen IP-Adressen mit Antworten bombardiert. Da es die Anfrage nicht kennt, reagiert es nicht, worauf es zu weiteren Anfragen kommt. Ergebnis: DDoS Attacke, von vielen Servern verteilt gleichzeitig.

Damit das funktioniert, reicht ein zum Internet offener Server. Es muss dort keine Schadsoftware installiert sein.

Aber: Solche Serversdressen werden im Darknet gehandelt. Und da interessieren sich ggf. auch andere dafür.

Punkt 1 spricht für „Ports dicht, alles gut“. Punkt 2 spricht für „Ports dicht, DS platt machen, alles gut“.

festigrat · 10. Jul 2024

Ok. Vielen Dank für Eure Einschätzugen. Ich werde mal auf Nummer sicher gehen und das NAS neu aufsetzen. Das schadet nichts und dann kann ich alles anhand des Leitfadens richtig einrichten. Liebe Grüße und herzlichen Dank!

Suche

SSDP-Dienst mit DDoS-Reflection angegriffen

kw

Benutzer

Anzeige

festigrat

Benutzer

festigrat

Benutzer

ctrlaltdelete

Benutzer

Ulfhednir

Benutzer

festigrat

Benutzer

maxblank

Benutzer

kw

Benutzer

Synchrotron

Benutzer

festigrat

Benutzer

Kaffeautomat