SSDP-Dienst mit DDoS-Reflection angegriffen

[*kw*]

@Adama: Ich schrieb oben auch "im Zweifel". Grundsätzlich gebe ich dir Recht, aber bei der "unbeaufsichtigten Eingangslage", sprich Ports, über einen längeren Zeitraum könnte man drüber nachdenken, wenn ein Backup (unveränderbarer) Daten vorliegt.

 

[festigrat]

OK. Das würde es für mich ja sehr vereinfachen!

 

[festigrat]

@Adama: Ich schrieb oben auch "im Zweifel". Grundsätzlich gebe ich dir Recht, aber bei der "unbeaufsichtigten Eingangslage", sprich Ports, über einen längeren Zeitraum könnte man drüber nachdenken, wenn ein Backup (unveränderbarer) Daten vorliegt.

Das stimmt natürlich auch wieder. Da waren über einen großen Zeitraum mehrere Ports offen. Ein Backup der einzelnen Dateien habe ich natürlich. Synology photos müsste neu aufgesetzt werden. Der Rest wäre im Prinzip einfach.

 

[ctrlaltdelete]

Ich dachte die Ddos ging von der DS aus?

 

[Ulfhednir]

Ausgehend von der Fragestellung und den Aussagen kann das alles mögliche im Netzwerk gewesen sein.

 

[festigrat]

Ich weiß auch nicht, von wem der Angriff ausging. Ich dachte, er kam von außen. Hier ist der Text des Briefes von meinem Provider:

Das Simple Service Discovery Protocol (SSDP) ist ein Netzwerk-protokoll, welches zur Suche nach UPnP-Geräten im Netzwerk dient.
In den letzten Monaten wurden Systeme, welche SSDP-Anfragen aus dem Internet beantworten, zunehmend zur Durchführung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter missbraucht.
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzwerk. Der Zeitstempel (Zeitzone UTC) gibt an, wann der offene SSDP-Dienst identifiziert wurde.
Offene SSDP-Dienste Port: 1900 | Server: Synologoy/DSM/ IP-Adresse

 

[maxblank]

In meinen Augen nur eine Warnung vom Provider, dass der Port bei dir offen war und ggfls. zu Angriffen auf andere Systeme missbraucht werden kann, aber nicht, dass dies bei dir der Fall gewesen wäre.
Ansonsten wäre dein Anschluss schneller zu gewesen als du Telekom sagen kannst.

 

[*kw*]

@festigrat: wenn du die neuen Informationen einigermaßen einordnen und von einer Neuinstallation absehen kannst, solltest du wenigstens die im Leitfaden aufgeführten "Hausaufgaben" machen und ggf. nachfragen.

 

[Synchrotron]

DDoS Reflection heißt, der Malwareserver veranlasst andere, im Internet erreichbare Server eine Anfrage zu beantworten. Dabei wird aber als Antwortadresse nicht die korrekte angegeben, sondern die des DDoS-Ziels.

Damit wird dieses Ziel von unterschiedlichen IP-Adressen mit Antworten bombardiert. Da es die Anfrage nicht kennt, reagiert es nicht, worauf es zu weiteren Anfragen kommt. Ergebnis: DDoS Attacke, von vielen Servern verteilt gleichzeitig.

Damit das funktioniert, reicht ein zum Internet offener Server. Es muss dort keine Schadsoftware installiert sein.

Aber: Solche Serversdressen werden im Darknet gehandelt. Und da interessieren sich ggf. auch andere dafür.

Punkt 1 spricht für „Ports dicht, alles gut“. Punkt 2 spricht für „Ports dicht, DS platt machen, alles gut“.

 

[festigrat]

Ok. Vielen Dank für Eure Einschätzugen. Ich werde mal auf Nummer sicher gehen und das NAS neu aufsetzen. Das schadet nichts und dann kann ich alles anhand des Leitfadens richtig einrichten. Liebe Grüße und herzlichen Dank!