Ich habe u.A. zwei Regeln erstellt:
59.0.0.0/8 255.0.0.0 und 59.0.0.0/11 255.224.0.0
Beide auf:
Rtg-tag Admin-Distance Peer-or-IP Distance Masquerade Active
0 0 "0.0.0.0" 0 No Yes
Warum kommt hier immer noch ein "denial of service attack" von z.B. 59.2.xxx.xxx, laut Syslog, durch?
LCOS = 10.92.0278RU4
Mir ist das auch schon auf anderen Sub-Netzwerken* aufgefallen die auch auf Null-/Blackhole-Routing stehen.
* Korea und HK/China, APNIC-IP-Adressen habe ich grundsätzlich per Null-/Blackhole-Routing gesperrt.
Kommt LCOS nicht mehr mit den großen Sub-Netzen klar?
Muss ich die Sub-Netze verkleinern?
Wenn ja, auf welche Größe?
Danke schon einmal für die Informationen vorab.
Frage zu Null-/Blackhole-Routing
Moderator: Lancom-Systems Moderatoren
Re: Frage zu Null-/Blackhole-Routing
Ich denke, ich habe den Fehler gefunden.
Seit dem Update von der 10.72.0771SU10 auf die 10.92.0227RU3 taucht dieser Fehler auf.
Die Routing-Tabelle wurde, bei dem Update, 1:1 übernommen!
Trotzdem fiel mir schon damals folgende Meldung auf:
2025-11-27 xx:xx:xx,LOCAL3,Alarm,"Dst: xxx.xxx.xxx.xxx:6036 {lancom}, Src: 222.1xx.xxx.xxx:19715 (TCP): denial of service attack"
Und als ich für Korea Telecom eine neue Sperrroute erstellen wollte
222.96.0.0/12 255.240.0.0
block APNIC KR Korea Telecom 222.96.0.0/12
kam nach der Eingabe:
An entry named '222.96.0.0' already exists in the table.
Please choose a different name:
da die Sperrroute bereits existierte.
(Ist auch doof, das man im Web-Interface, seit der 10.80, nicht mehr die ganzen Sperrrouten sehen kann und auch nicht mehr nach diesen, z.B. mit Strg-F, suchen kann.)
Pingen kann ich die IP-Adressen nicht die bei mir im Syslog mit "DoS protection" auftauchen und in der Sperrroute/Sperrliste stehen.
Bei einem Ping auf die IP-Adressen kommt dann halt "Zielnetz nicht erreichbar".
Ich gehe wieder auf die 10.72er zurück bis das Problem behoben ist.
Ich hoffe die 10.72 wird noch weiterhin supportet bist das Problem in der 10.92.0227RU3/10.92.0278RU4 behoben wurde.
Seit dem Update von der 10.72.0771SU10 auf die 10.92.0227RU3 taucht dieser Fehler auf.
Die Routing-Tabelle wurde, bei dem Update, 1:1 übernommen!
Trotzdem fiel mir schon damals folgende Meldung auf:
2025-11-27 xx:xx:xx,LOCAL3,Alarm,"Dst: xxx.xxx.xxx.xxx:6036 {lancom}, Src: 222.1xx.xxx.xxx:19715 (TCP): denial of service attack"
Und als ich für Korea Telecom eine neue Sperrroute erstellen wollte
222.96.0.0/12 255.240.0.0
block APNIC KR Korea Telecom 222.96.0.0/12
kam nach der Eingabe:
An entry named '222.96.0.0' already exists in the table.
Please choose a different name:
da die Sperrroute bereits existierte.
(Ist auch doof, das man im Web-Interface, seit der 10.80, nicht mehr die ganzen Sperrrouten sehen kann und auch nicht mehr nach diesen, z.B. mit Strg-F, suchen kann.)
Pingen kann ich die IP-Adressen nicht die bei mir im Syslog mit "DoS protection" auftauchen und in der Sperrroute/Sperrliste stehen.
Bei einem Ping auf die IP-Adressen kommt dann halt "Zielnetz nicht erreichbar".
Ich gehe wieder auf die 10.72er zurück bis das Problem behoben ist.
Ich hoffe die 10.72 wird noch weiterhin supportet bist das Problem in der 10.92.0227RU3/10.92.0278RU4 behoben wurde.
Re: Frage zu Null-/Blackhole-Routing
Hi plumpsack,
an der IDS/DOS-Auswertung hat sich nichts geändert!
Kann es sein, daß du die IDS-Aktion auf Akzeptieren gestellt hast - dann greift die Sperr-Routen-Prüfung nicht für einkommende Pakete
Desweiteren werden vor der Prüfung der Quell-Route noch einige spezielle DOS-Tests gemacht (LAND, BONK, Ping-of-Death, etc.), die entsprechend gemeldet werden. Wenn du genau wissen willst, was passiert ist, dann laß dir von der Firewall eine Mail schicken (oder nimm eine 10.94, da steht im Syslog etwas mehr drin...)
Abgesehen davon: da die Firewall den DOS-Angriff gemeldet hat, ist er natürlich *NICHT* durchgekommen.
und zur WEBconfig: natürlich kann man die Sperr-Routen auch in der 10.80 und höher in der Routing-Tabelle sehen... Und sie lassen sich auch mit Strg-f finden: einfach nach 0.0.0.0 suchen
d.h. es gibt in der 10.92 nichts zu beheben und der Support für die 10.72 wird irgendwann enden
Gruß
Backslash
an der IDS/DOS-Auswertung hat sich nichts geändert!
Kann es sein, daß du die IDS-Aktion auf Akzeptieren gestellt hast - dann greift die Sperr-Routen-Prüfung nicht für einkommende Pakete
Desweiteren werden vor der Prüfung der Quell-Route noch einige spezielle DOS-Tests gemacht (LAND, BONK, Ping-of-Death, etc.), die entsprechend gemeldet werden. Wenn du genau wissen willst, was passiert ist, dann laß dir von der Firewall eine Mail schicken (oder nimm eine 10.94, da steht im Syslog etwas mehr drin...)
Abgesehen davon: da die Firewall den DOS-Angriff gemeldet hat, ist er natürlich *NICHT* durchgekommen.
und zur WEBconfig: natürlich kann man die Sperr-Routen auch in der 10.80 und höher in der Routing-Tabelle sehen... Und sie lassen sich auch mit Strg-f finden: einfach nach 0.0.0.0 suchen
d.h. es gibt in der 10.92 nichts zu beheben und der Support für die 10.72 wird irgendwann enden
Gruß
Backslash
Re: Frage zu Null-/Blackhole-Routing
Nachtrag:
Es liegt wohl doch nicht an der Firmware.
An der Konfiguration wurde ansonsten, seit Jahren, nichts geändert.
Hier kam heute eine DoS-Meldung ins Syslog der 10.72.0974RU12 von einer IP-Adresse die ebenfalls in der Blockliste /Sperrroute steht.
Diese IP-Adresse kann ich nicht pingen da sie ja auf der Sperrroute steht.
Frage, kann man eine DoS-Meldung mit einer IP-Adresse, die auf einer Sperrroute steht, mit einer gespooften IP-Adresse erzeugen?
Also derjenige der das DoS auslöst benutzt die IP-Adressen, im z.B. Header, die auf der Sperrliste stehen aber die echte IP-Adresse des DoS wird vom Lancom-Router nicht erkannt?
Anders kann ich mir das nicht mehr erklären.
Danke schon einmal für die Hilfe vorab.
Es liegt wohl doch nicht an der Firmware.
An der Konfiguration wurde ansonsten, seit Jahren, nichts geändert.
Hier kam heute eine DoS-Meldung ins Syslog der 10.72.0974RU12 von einer IP-Adresse die ebenfalls in der Blockliste /Sperrroute steht.
Diese IP-Adresse kann ich nicht pingen da sie ja auf der Sperrroute steht.
Frage, kann man eine DoS-Meldung mit einer IP-Adresse, die auf einer Sperrroute steht, mit einer gespooften IP-Adresse erzeugen?
Also derjenige der das DoS auslöst benutzt die IP-Adressen, im z.B. Header, die auf der Sperrliste stehen aber die echte IP-Adresse des DoS wird vom Lancom-Router nicht erkannt?
Anders kann ich mir das nicht mehr erklären.
Danke schon einmal für die Hilfe vorab.
Re: Frage zu Null-/Blackhole-Routing
Also unterbackslash hat geschrieben: 04 Mär 2026, 11:36 und zur WEBconfig: natürlich kann man die Sperr-Routen auch in der 10.80 und höher in der Routing-Tabelle sehen... Und sie lassen sich auch mit Strg-f finden: einfach nach 0.0.0.0 suchen
/config2/10/1?table_val002_display
(Page 0)
bekomme ich genau 201 matches bei der Suche nach 0.0.0.0 mit Strg-F obwohl ich eigentlich nach den Quell-Netzwerken suchen möchte und nicht nach dem Device (Router) welches die Null-Route verwaltet.
(Page 1)
/config2/10/1/?table_val002_display&c_table_page=1
198 matches
...
/config2/10/1/?table_val002_display&c_table_page=53
Das funktioniert so nicht.
In der 10.72.0771SU10 bekomme ich das "in einem Rutsch" angezeigt!
Da kann ich dann auch mit Strg-F nach Quell-Netzwerken suchen.