Hallo an Alle,
ich bekomme seit gestern aus Brasilien alle paar Sekunden "DoS SYN flooding attack" gegen Port 443 auf meiner "WAN IP von Portunity", welche über Wireguard am Lancom angebunden ist.
Was mich bei der Sache sehr irritiert ist, dass ich den Port 443 im Lancom weder nutze, noch diesen "offen" oder aktiv habe. Selbst "IPSec over HTTPS" habe ich ausgeschaltet. Wieso reagiert der Lancom also auf den Port 443?
Vielleicht kann ja einer etwas dazu sagen und mir erklären wo der Fehler ist?
Firmware ist 10.94.
Grüße
Cpuprofi
"DoS SYN flooding attack" gegen Port 443, obwohl dieser deaktiviert...?
Moderator: Lancom-Systems Moderatoren
Re: "DoS SYN flooding attack" gegen Port 443, obwohl dieser deaktiviert...?
Hi cpuprofi,
Gruß
Backslash
der LANCOM regaiert nicht auf den Port - die Firewall bekommt das aber trotzdem mit, weil sie alle einkommenden Pakete sieht.Wieso reagiert der Lancom also auf den Port 443?
Gruß
Backslash
Re: "DoS SYN flooding attack" gegen Port 443, obwohl dieser deaktiviert...?
Hi cpuprofi,
Gruß
Backslash
der "Fehler" ist vermutlich der Provider Portunity... Der ist vermutlich "weltbekannter" als irgendein lokaler Internetprovider und zieht somit mehr Angreifer auf sich (bzw. dessen Kunden)Vielleicht kann ja einer etwas dazu sagen und mir erklären wo der Fehler ist?
Gruß
Backslash
Re: "DoS SYN flooding attack" gegen Port 443, obwohl dieser deaktiviert...?
Hallo Backslash,
Portunity stellt mir für den GF-Anschluß (DG, keine WAN IPv4) per Wireguard-Tunnel eine statische IP-Adresse zur Verfügung, damit ich auch auf den Lancom-Router von außen zugreifen kann.
Bisher war es so, dass wenn man beim WAN-Anschluß (DSL/Kabel) den Port 443 deaktiviert hat, die DoS-Protection keine Email- oder SMNP-Meldungen für diesen Port gesendet hat. Meldungen bekam man nur bei "Angriffen" auf offene/erreichbare Ports.
Denn hier bekomme ich die DoS-Protection Meldungen auch bei deaktivierten Port 443.
Mich würde mal interessieren, ob dieses doch unterschiedliche Verhalten so gewollt ist?
Grüße
Cpuprofi
Portunity stellt mir für den GF-Anschluß (DG, keine WAN IPv4) per Wireguard-Tunnel eine statische IP-Adresse zur Verfügung, damit ich auch auf den Lancom-Router von außen zugreifen kann.
Bisher war es so, dass wenn man beim WAN-Anschluß (DSL/Kabel) den Port 443 deaktiviert hat, die DoS-Protection keine Email- oder SMNP-Meldungen für diesen Port gesendet hat. Meldungen bekam man nur bei "Angriffen" auf offene/erreichbare Ports.
hmm.. dann scheint das Verhalten der DoS-Protection/Firewall anders zu sein, wenn man einen WAN-Anschluß über einen VPN-Tunnel hat.backslash hat geschrieben: 04 Nov 2025, 13:50der LANCOM regaiert nicht auf den Port - die Firewall bekommt das aber trotzdem mit, weil sie alle einkommenden Pakete sieht.Wieso reagiert der Lancom also auf den Port 443?
Denn hier bekomme ich die DoS-Protection Meldungen auch bei deaktivierten Port 443.
Mich würde mal interessieren, ob dieses doch unterschiedliche Verhalten so gewollt ist?
Grüße
Cpuprofi
Re: "DoS SYN flooding attack" gegen Port 443, obwohl dieser deaktiviert...?
Hi cpuprofi,
unabhängig davon, ob die Meldung wirklich mit einer Deaktivierung zusammenhängt: ist der Port 443 wirklich deaktiviert?
Wenn du HTTPS "nur über VPN" zuläßt, dann ist es bei Wireguard erlaubt und der Port 443 ist offen! Wireguard ist kein "einfaches" WAN, sondern eine VPN-Verbindung
das gleiche gilt i.Ü. auch für den VCM, wenn du den Zugriff auf ihn über VPN erlaubts...
Gruß
Backslash
unabhängig davon, ob die Meldung wirklich mit einer Deaktivierung zusammenhängt: ist der Port 443 wirklich deaktiviert?
Wenn du HTTPS "nur über VPN" zuläßt, dann ist es bei Wireguard erlaubt und der Port 443 ist offen! Wireguard ist kein "einfaches" WAN, sondern eine VPN-Verbindung
das gleiche gilt i.Ü. auch für den VCM, wenn du den Zugriff auf ihn über VPN erlaubts...
Gruß
Backslash
Re: "DoS SYN flooding attack" gegen Port 443, obwohl dieser deaktiviert...?
Hallo Backslash,
danke für den Hinweis, bei einem SIP-Benutzer war noch "Zugriff von WAN : Nur über VPN" an. Hab ich jetzt geändert.
Ich werde die ganze Sache mal weitert beobachten und mich dann noch einmal melden.
Grüße
Cpuprofi
danke für den Hinweis, bei einem SIP-Benutzer war noch "Zugriff von WAN : Nur über VPN" an. Hab ich jetzt geändert.
Ich werde die ganze Sache mal weitert beobachten und mich dann noch einmal melden.
Grüße
Cpuprofi