Liebe Syno Community,
Ich habe eine DS508 und eine 710+ Station, derzeit habe ich meine DS508 zum Internet hin offen, hinter einem DLINK Dir-685.
Seit kurzem habe ich das Problem das meine Station extern nicht erreichbar ist, im internen Netzwerk ist Sie jedoch erreibar. Nach längerer Fehlersuche bin ich im Protokoll des Routers auf das Problem gestoßen.
Anscheinend bin ich seit kurzem einer TCP-Flooding Attacke ausgesetzt (im Halbsekunden Takt werden Anfragen an den Router geschickt) der Router verwirft anscheinend die Anfragen, was ja einmal prinzipiell gut ist, jedoch nicht so gut ist, daß meine DS508 von extern nicht erreichbar ist.
Das Problem habe anscheinend nicht nur ich und habe mich daher auf Lösungssuche begeben, angeblich soll die Open Source Lösung "Snort" recht hilfreich sein. Das Problem ist, ich kann Snort leider nicht auf meinem Router installieren, daß heißt ich muss vor den Router theoretisch einen PC, was mir lieber wäre eine Diskstation, davorhängen vor den Router welcher automatisch Attackierende IP-Adressen erst gar nicht zum Router durchlässt.
Da Snort auch auf UNIX Systemen eingesetzt wird, wäre es interressant zu Wissen...geht das auch auf einer Synology Station, oder gibt es noch andere leichtere Methoden diese nervigen Attacken zu blockieren?
Hier ein Auszug aus meinem Router:
Zeit Benachrichtigung
Mar 21 17:17:39 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:192.74.245.123) detected. Packet dropped.
Mar 21 17:17:34 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:108.62.236.244) detected. Packet dropped.
Mar 21 17:17:27 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:108.62.17.254) detected. Packet dropped.
Mar 21 17:17:21 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:192.74.234.72) detected. Packet dropped.
Mar 21 17:17:16 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:64.120.44.116) detected. Packet dropped.
Mar 21 17:17:10 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:142.4.118.20) detected. Packet dropped.
Mar 21 17:17:03 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:173.208.83.171) detected. Packet dropped.
Mar 21 17:16:57 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:173.234.153.189) detected. Packet dropped.
Mar 21 17:16:52 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:23.19.99.85) detected. Packet dropped.
Mar 21 17:16:46 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:108.177.181.43) detected. Packet dropped.
Interessant ist weiteres, warum ist meine DS508 mit httpd Anfragen beschäftigt, obwohl die Packete vom Router ja verworfen werden - siehe Screenshot
LG Siegi
Ich habe eine DS508 und eine 710+ Station, derzeit habe ich meine DS508 zum Internet hin offen, hinter einem DLINK Dir-685.
Seit kurzem habe ich das Problem das meine Station extern nicht erreichbar ist, im internen Netzwerk ist Sie jedoch erreibar. Nach längerer Fehlersuche bin ich im Protokoll des Routers auf das Problem gestoßen.
Anscheinend bin ich seit kurzem einer TCP-Flooding Attacke ausgesetzt (im Halbsekunden Takt werden Anfragen an den Router geschickt) der Router verwirft anscheinend die Anfragen, was ja einmal prinzipiell gut ist, jedoch nicht so gut ist, daß meine DS508 von extern nicht erreichbar ist.
Das Problem habe anscheinend nicht nur ich und habe mich daher auf Lösungssuche begeben, angeblich soll die Open Source Lösung "Snort" recht hilfreich sein. Das Problem ist, ich kann Snort leider nicht auf meinem Router installieren, daß heißt ich muss vor den Router theoretisch einen PC, was mir lieber wäre eine Diskstation, davorhängen vor den Router welcher automatisch Attackierende IP-Adressen erst gar nicht zum Router durchlässt.
Da Snort auch auf UNIX Systemen eingesetzt wird, wäre es interressant zu Wissen...geht das auch auf einer Synology Station, oder gibt es noch andere leichtere Methoden diese nervigen Attacken zu blockieren?
Hier ein Auszug aus meinem Router:
Zeit Benachrichtigung
Mar 21 17:17:39 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:192.74.245.123) detected. Packet dropped.
Mar 21 17:17:34 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:108.62.236.244) detected. Packet dropped.
Mar 21 17:17:27 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:108.62.17.254) detected. Packet dropped.
Mar 21 17:17:21 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:192.74.234.72) detected. Packet dropped.
Mar 21 17:17:16 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:64.120.44.116) detected. Packet dropped.
Mar 21 17:17:10 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:142.4.118.20) detected. Packet dropped.
Mar 21 17:17:03 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:173.208.83.171) detected. Packet dropped.
Mar 21 17:16:57 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:173.234.153.189) detected. Packet dropped.
Mar 21 17:16:52 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:23.19.99.85) detected. Packet dropped.
Mar 21 17:16:46 ATTACK Detected: 002[TCP-FLOODING] attack from WAN (ip:108.177.181.43) detected. Packet dropped.
Interessant ist weiteres, warum ist meine DS508 mit httpd Anfragen beschäftigt, obwohl die Packete vom Router ja verworfen werden - siehe Screenshot
LG Siegi
Zuletzt bearbeitet:
