Beantwoord

UDP loop experiabox v8

  • 30 June 2019
  • 20 reacties
  • 695 keer bekeken

Reputatie 2
Beste leden,

Al sinds een zeer lange tijd hebben we regelmatig problemen met onze v8 experiabox, in het begin klapte hij er regelmatig uit ( tot 3 keer per week ). Nu gebeurt dat niet zo vaak meer, maar vaak hapert het internet, en interactieve tv, waardoor tv kijken meer een ergenis word dan genieten.

Toen ben ik gaan snuffelen in de logs van de experiabox, en zag dat er met regelmaat een flinke lijst met zogenaamde UDP loops tevoorschijn kwam. Met allerlei verschillende IP adressen. Vaak ook aanvallen richting mijn computer. Ik heb in het verleden wel een bittorent client gebruikt, maar deze is lang geleden van mijn pc verwijderd, verder gebruik ik geen download software, alleen spotify.

ik kan weinig tot niks aanpassen in de firewall zelf van de experiabox, en heb al van velen gehoord dat de firewall van dit apparaat zeer zwak is en weinig tegenhoud. Ik heb ook gehoord dat kpn als er veel aanvallen naar, of vanaf ons ip-adres - buiten onze medeweten om - dat het ip adres kan worden geblokkeerd. Dat wil ik natuurlijk niet.

Hoe kan ik dit oplossen, zodat deze udp loops niet langer onze experiabox overstuur maakt ?
icon

Beste antwoord door Erik van KPN 2 July 2019, 17:56

Bekijk origineel

Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

20 reacties

Reputatie 7
Badge +24
Je kan controleren of er geen poorten open staan. Verder: wat wou je aanpassen dan? Als alle poorten dicht zitten, dan hoef je niet bang te wezen dat er iemand binnen komt. Verder: het kastje opnieuw opstarten / resetten.
Reputatie 7
Badge +30
Hoi Michel, welkom op het forum! Zolang jij geen poorten hebt openstaan ben je an sich beschermd. Maar, je verbinding hoort verder niet te haperen. Dus dat wil ik wel graag even doormeten. Vul daarvoor je gegevens in op je profiel, en laat weten als je dit gedaan hebt. Dan gaan we van daaruit verder kijken 🙂
Reputatie 2
Hallo 🙂.

Hoe / waar kan ik checken waar er poorten open staan op de experiabox ?

Verder is de snelheid ok, dat is meerdere malen eerder doorgemeten. Echter na ( of tijdens ) een udp loop kapt de experiabox er zelf mee dmv geen signaal door te geven, totdat deze opnieuw word opgestart of gereset. Ook raakt de draadloze verbindingsset van slag hierdoor, waardoor ik deze ook opnieuw moet resetten. Ook het glasvezelkastje restarten helpt niks. Dit zijn puur "aanvallen van buitenaf " ( inbound ).
Reputatie 7
Badge +24
Als je kastje gereset is, dan staat standaard alles dicht.
Reputatie 7
Badge +30
Wat Nick zegt inderdaad. Standaard staat alles dicht. Als jij niet zelf port forwards hebt ingesteld dan zit dat verder goed. Ik heb ook nog even wat verder nagekeken en er is verder niet echt iets dat wij hier aan kunnen doen. De firewall in je Experia Box houdt deze aanvallen tegen. Als jij dus niet zelf servers draait of anderszins port forwards hebt ingesteld en verder zorgt voor goede beveiliging op je eigen apparaten (firewall, antivirus en antimalware programma's) zul je er, los van af en toe de uitval, geen blijvende gevolgen van hebben.
Reputatie 2
Ik heb verder niks eraan verandert, port forwarden heb ik nooit gedaan omdat alles gewoon prima heeft gewerkt. Hier is het gewoon een thuisnetwerkje ( 1 pc, 1 laptop, 2 tv tuners en 2 smartphones, en 1 huistelefoon, pc en laptop zijn niet constant aan ). Ik heb de v8 een aantal keren gereset omdat deze te vaak uitviel ( 3 tot op 3 keer per week ).

Nu valt ie niet uit maar is alles enorm traag, tv tuners haperen, bufferen. Een avondje tv kijken is meer een ergenis dan genieten 😞 . Vaak zo erg dat we maar overschakelen op het kijken naar dvd's , ook leuk, maar niet de bedoeling.

De pc ( die vaak doelwit is van de aanvallen ) is verder schoon, draait op nod32 antivirus, malwarebytes anti-malware, spybot search & destroy hebben deze pc beide gescant, heeft niks gevonden. Cookies en browser cache worden elke dag geleegd voor afsluiten.

Ik heb het idee dat de v8 enorm veel mooite ermee heeft, ondanks de ingebouwde firewall.
Reputatie 2
En als klap op de vuurpijl, ook nog een syn flood ( eigen IP verwijdert )

07/04/2019 23:54:26 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:54:26 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:54:25 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:54:24 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:54:23 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:54:22 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:54:21 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:54:20 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:54:20 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:54:19 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:54:18 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:54:17 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:54:16 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:54:14 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:54:13 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:54:12 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:54:11 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:54:10 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:54:09 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:54:08 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:54:07 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:54:06 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:54:05 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:54:04 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:54:03 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:54:01 **SYN Flood** 95.141.193.28, 54471->>(from PPPoE1 Inbound)
07/04/2019 23:54:00 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:54:00 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:59 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:58 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:53:57 **SYN Flood** 95.141.193.28, 54471->>(from PPPoE1 Inbound)
07/04/2019 23:53:56 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:53:55 **SYN Flood** 95.141.193.28, 54471->>(from PPPoE1 Inbound)
07/04/2019 23:53:54 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:53:53 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:52 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:51 **SYN Flood** 95.141.193.28, 54471->>(from PPPoE1 Inbound)
07/04/2019 23:53:50 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:49 **SYN Flood** 95.141.193.28, 54471->>(from PPPoE1 Inbound)
07/04/2019 23:53:48 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:47 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:46 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:45 **SYN Flood** 95.141.193.28, 54471->>(from PPPoE1 Inbound)
07/04/2019 23:53:44 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:53:43 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:42 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:53:41 **SYN Flood** 95.141.193.28, 54471->>(from PPPoE1 Inbound)
07/04/2019 23:53:40 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:39 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:38 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:53:37 **SYN Flood** 95.141.193.28, 54471->>(from PPPoE1 Inbound)
07/04/2019 23:53:35 **SYN Flood** 95.141.193.28, 54471->>(from PPPoE1 Inbound)
07/04/2019 23:53:34 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:33 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:32 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:53:31 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:30 **SYN Flood** 95.141.193.28, 54470->>(from PPPoE1 Inbound)
07/04/2019 23:53:29 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:28 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:27 **SYN Flood** 95.141.193.28, 54471->>(from PPPoE1 Inbound)
07/04/2019 23:53:26 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:25 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:24 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:23 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:22 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:21 **SYN Flood** 95.141.193.28, 54471->>(from PPPoE1 Inbound)
07/04/2019 23:53:20 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:19 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:18 **SYN Flood** 95.141.193.28, 54470->> (from PPPoE1 Inbound)
07/04/2019 23:53:17 **SYN Flood** 95.141.193.28, 54471->> (from PPPoE1 Inbound)
07/04/2019 23:53:16 **SYN Flood** 192.168.2.2, 52324->> (from PPPoE1 Outbound)
07/04/2019 23:08:56 **UDP Loop** 185.94.111.1, 52852->> (from PPPoE1 Inbound)
07/04/2019 21:48:39 **UDP Loop** 185.94.192.230, 50003->> (from PPPoE1 Inbound)
Reputatie 7
Badge +24
Ik heb ook een v8 en kan ndit nergens vinden in de webinterface. Enige wat ik vindt is Intrusion Detection. Daar staat een tabelletje met 5 regels. Onder Count staan bij mij 5 nullen.
Reputatie 7
Badge +30
Wil je eens je gegevens invullen op je profiel, en laten weten als je dit gedaan hebt? Dan kan ik hier de boel nog even doormeten voor de zekerheid. Maar ik verwacht toch dat ik hier weinig tot niets aan kan doen.
Reputatie 2
@Erik_ Is reeds gedaan, mijn excuus dat het even heeft geduurd.

De laatste dagen is het erger geworden, veel aanvallen ( proberen binnen te dringen op mijn pc ), deze worden gelukkig geblokkeerd door de firewall op de pc, maar komen wel door de firewall van de experiabox, Wat het netwerk enorm belast, tv kijken en internet word een ergenis nu.

Ook kwam er "Probable ASCEND probe "waarschuwing in de logs van de experiabox van een dezelfde IP:

**UDP Loop** 104.152.52.26, 59012->> MIJN IP 7 (from PPPoE1 Inbound)
**UDP Loop** 104.152.52.26, 59012->> MIJN IP, 19 (from PPPoE1 Inbound)
**Probable ASCEND Probe** 104.152.52.26, 59012->> MIJN IP, 9 (from PPPoE1 Inbound)
Reputatie 7
Badge +30
Dank je, Michel. De verbinding an sich registreert geen issues, wat betekent dat ik hier niet echt iets aan kan doen.
Reputatie 2
Wat zijn eventuele alternatieven ? Of suggesties ?
Reputatie 7
Badge +30
Ik heb je, via privébericht i.v.m. privacy, wat aanvullende vragen gesteld, Michel. Als je daarop zou willen reageren kunnen we verder kijken of hier iets aan te doen valt.
Reputatie 2
Privébericht is verstuurd. Ik reageer soms een beetje laat vanwege drukte, wederom mijn excuus.
Reputatie 7
Badge +30
Geen probleem, ik heb alle tijd, dus we kunnen rustig aan doen 🙂
Reputatie 7
Badge +30
Na nog wat aanvullende checks en metingen kom ik toch tot de conclusie dat het in dit geval beter is om de Experia Box om te wisselen voor een nieuwer exemplaar. Deze wordt morgen geleverd op het servicepunt. Je hebt alle info daarover via privébericht, Michel.
Reputatie 2
Ik dank u hartelijk 😃, ik laat het nog even weten als alles gelukt it.
Ben eigenlijk wel benieuwd of het met een nieuwe router is opgelost.

Ik ondervind hetzelfde probleem en volgens KPN Webcare kunnen ze niets voor me doen. Het beste wat ik volgens hun kan doen is aangifte bij de politie

Dikke pech dus, het probleem zal hiermee echter niet opgelost worden want ik zie niet in dat een aangifte het probleem oplost.

Dit kreeg ik te horen.
Beste dat ik je nu kan adviseren is om dit aan te geven bij de politie. Die treden er wel tegen op. Zie ook. https://www.politie.nl/themas/ddos.html
Bij een eventuele aangifte dan de logs overdragen.
Een nieuwe ipadres word niet uitgegeven voor een DDoS. Dat is echt geen optie voor een ISP.
Hoi @Gerrie72 . Ik begrijp dat jij hinder ondervind van Ddos aanvallen? Dan zou een nieuwe router niks uithalen. Je ip adres blijft immers hetzelfde.
Mocht er iets anders aan de hand zijn, laat het weten.

Helaas klopt het, dat als je consequent op die manier lastig gevallen wordt, KPN hier geen oplossing voor heeft. Aangifte en een overstap naar een andere provider is in sommige extreme gevallen het enige wat we kunnen adviseren. Bij die nieuwe provider is het dan raadzaam om consequent een VPN te gebruiken om herhaling te voorkomen. Let wel, dit geldt voor klanten die extreem lastig worden gevallen.
Hoi Erwin,

Wat er precies gebeurt is me niet helemaal duidelijk. Of het een portscan of DDOS aanval is. Ik weet alleen dat de router bijna geen verkeer doorlaat als dit gebeurt.
De meldingen in de log bevatten oa
**UDP flood**
**fragmentation flood**

bijvoorbeeld
09/18/2019 18:40:16 **fragmentation flood** 83.243.75.5, 389->> xx.xxx.xxx.xx, 31996 (from PPPoE1 Inbound)

Dit gebeurt sinds een maand of 6 vanaf verschillende ip adressen. Soms een week niet en dan opeens weer elke dag.

Het kan toch niet zo zijn dat overstappen naar een andere provider de enige oplossing is?