Trafiek op Telenet lijn zonder aangekoppelde toestellen

[AfAX]

Vrijdagnamiddag kwam ik in de bureau en het gele lichtje op de Motorola Telenet modem was heel druk aan het pinken. Vermits er die ganse dag sinds 0 uur niemand online gegaan was logde ik in en bekeek de dagdownload op Telenet Telemeter. Deze stond op 4,6G. De PC stond af tot net voor ik toen inlogde, dus checkte ik mijn 3 android toestellen. Daar was amper trafiek op de laatste 24 uur. Ik dacht dus dat ik een lifter had en checkte de router. Hier vond ik enkel mijn toestellen terug: 3 android toestellen mijn PC en Siemens VOIP, allen in 192.168.0.xxx Verder stonden er bovenaan ook 3 IP adressen van buiten af. Ik heb TN modem, switch en eigen modem herstart maar er was nadien nog steeds die trafiek van +-300 per uur (volgens Telemeter Telenet). Een tijdje later pingde ik de 3 adressen die bovenaan in de router (een D-Link DES-1005D switch van Telenet) stonden. 1 van de 3 had geen ping reply. ik deed hier een tracert van en kwam tot aan een DDOS-blokker. Heb dus persoonlijk weinig ervaring met DDOS. Ik heb toen al mijn wifi toestellen uitgezet, de voip telefonie uitgetrokken en de RJ45 van de PC uitgetroken. Er bleef volgens het gele lichtje eenzelfde trafiek op de switch. Heb dan ook mijn eigen modem die achter de switch zit uit de switch getrokken en de trafiek bleef op de TN modem. Aan het verbruik (de volgende dag) te zien moet dit nog een uurtje doorgegaan zijn. De volgende dag waren die 3 ip's niet meer te bespeuren in de router en ook het pinkend lampje was weer normaal, evenals de trafiek. Ik heb dan zaterdagmorgen naar de Service desk van Telenet getelefoneer, maar die kerel hoorde het in Keulen donderen toen hij mijn uitleg hoorde. Hij heeft een dossier opgemaakt en Telenet 2nd line zou me contacteren, maar dit gebeurde niet tot op heden. Het issue is wel gone, maar ik zou toch graag weten wat hier specifiek aan de hand was. En of anderen ook al iets dergelijks gemerkt hebben. Het is duidelijk dat dit door buitenaf kwam, maar hoe en wat zijn me niet duidelijk.

[Petervanakelyen]

Dat er lichtjes knipperen op je modem is niet ongewoon, er is altijd wel iets op het internet dat traffiek veroorzaakt.

[ubremoved_539]

Een tijdje later pingde ik de 3 adressen die bovenaan in de router (een D-Link DES-1005D switch van Telenet) stonden. 1 van de 3 had geen ping reply.

3 adressen bovenaan... je bedoelt dus geen lokale clients met een 192.168.0.x adres ? Voor zover ik me herinner zie je in Mijn Telenet enkel clients dus ik volg je hier even niet ?

ik deed hier een tracert van en kwam tot aan een DDOS-blokker.

Ook dit zal je eens moeten verduidelijken ?

PS. Is je ENTER toets defect ?

[AfAX]

@Peter
Dat weet ik, maar niet aan een extreem hoge frekwentie (dat pinken). En ook geen 300M per uur. Bij mij is dat 5 tot 8M per uur als alles in rust toestand staat. Met 300M per uur zou ik trouwens automatisch boven mijn limiet van 100G komen ook als ik niets doe... En ik zit meestal rond de 50G per maand met een paar filmpjes kijken, gamen en normale surfen.

@R2504. Dat is het hem juist. Bovenaan stonden dus EXTERNE Ip's op de router, die zijn nu weg.
DDOS is Distributed denial of Services. Wordt gebruikt om servers plat te krijgen, maar weet ook niet de juiste techniek. Tracert = een commando gebruikt in een dos box om een 'trace route' te doen, dan zie je waar je verkeer naar een ip adres allemaal passeert of stopt (zoals in dat geval).

[UBremoved9108]

En hoe weet jij door een IP te tracen dat dat IP bekend staat om DDOS aanvallen uit te voeren? Meestal zijn dat PC's die in een botnet zitten die daarvoor ingeschakeld worden. Ik ben benieuwd hoe jij dat kan zien/weten dat je op een dDoS uitkomt?

[krisken]

Als je uitkomt bij Leaseweb, Hetzner of OVH heb je er wel een grote kans toe

[ubremoved_539]

@R2504. Dat is het hem juist. Bovenaan stonden dus EXTERNE Ip's op de router, die zijn nu weg

Spijtig dat je hier geen screenshot van hebt.

Nu moest het een echte DDOS zijn dan zouden het wel wat meer dan 3 adressen zijn... en ik blijf me verbazen hoe je externe IP-adressen kan zien bij je clients ?

[ITnetadmin]

First off: wall of text anyone? Alineas, paragrafen etc bestaan voor een reden. Gelieve ze aub te gebruiken.

Mss geen ddos, maar kheb een paar weken geleden ook veel traffic gezien. Moet een externe probe scan geweest zijn denk ik.

Verder: als mijn toestellen af staan, geeft mijn telenet modem regelmatig geen enkel blinkend lichtje, dus die zou idd kalm moeten zijn als je apparaten afstaan.


[ Post made via mobile device ]

[cptKangaroo]

Misschien kon je router gepingd worden en werd je dan als node in een DDOS attack gebruikt?

[AfAX]

Moet wel iets te maken gehad hebben met Ddos, want op één van de 3 IPs kreeg ik geen ping reply, maar via een tracert van datzelfde ip kwam ik tot bij een naam met DDOS-blokker in, en niet op een DDOS zelf zoals Bozzo hierboven aanhaalt.

CptKangourou, Kan ik daar iets aan doen dat mijn router zou kunnen gepingd worden, of ligt dit aan Telenet?

[ITnetadmin]

Je router, als je een goeie hebt, kan icmp requests op de wan poort negeren via een setting.

[ Post made via mobile device ]

[AfAX]

Vind dat niet onmiddellijk terug op mijn D link. Anderzijds was er toch nog steeds druk verkeer tussen de Telenet modem en de Telenet Switch als ik mijn router uit de switch getrokken had... mijn router (een D Link modem) zit achter de DLink switch van Telenet.

[ITnetadmin]

Als je een menu hebt ivm "remote access" (dus access tot de admin interface via de wan link), dan kan je dat daar vaak vinden.
Druk verkeer tussen de modem en switch kan ik alleen maar verklaren doordat mogelijk de switch zijn mac tables nog niet gerefreshed heeft. Trek die, na de router af te koppelen, ook ns effe uit en terug in, dat zou de mac tables moeten wissen, en dan weet de switch normaal gezien dat er niks meer aanhangt.

[ Post made via mobile device ]

[AfAX]

de setting die er mee overeen komt is imo "Enable Wan Ping Respond", en deze staat (en stond) niet aangevinkt. Als uitleg staat erbij "If you enable this feature, the WAN port of your router will respond to ping requests from the Internet that are sent to the WAN IP Address.".

Als zich dit nog eens voordoet zal ik in elk geval eens proberen om enkel toegang op mac adres te geven op de router.

Het laatste antwoord verklaard dus ook waarom er nog trafiek was nadat alles uitgetrokken werd, en het is dan ook geen toeval dat een half uurtje na deze actie alles weer stil vie zoals normaal.

Dank voor de antwoorden. Het was verhelderend, maar toch vreemd. Maar dat is het altijd als er iets gebeurt dat buiten het normale is

[krisken]

Moet wel iets te maken gehad hebben met Ddos, want op één van de 3 IPs kreeg ik geen ping reply, maar via een tracert van datzelfde ip kwam ik tot bij een naam met DDOS-blokker in, en niet op een DDOS zelf zoals Bozzo hierboven aanhaalt.

CptKangourou, Kan ik daar iets aan doen dat mijn router zou kunnen gepingd worden, of ligt dit aan Telenet?

Nogmaals : verklaar eens hoe jij kan weten hoe dat iets te maken heeft met een DDOS? Welke stappen heb je hiervoor - exact beschreven - uitgevoerd? Dat je geen ping reply kent is niet zo raar : Windows servers hebben standaard ICMP (waar ping in zit) uit staan.

[ubremoved_539]

Als zich dit nog eens voordoet zal ik in elk geval eens proberen om enkel toegang op mac adres te geven op de router.

Begin al eens met screenshots te nemen van de dingen die je ziet.

[AfAX]

@Krisken: ik heb nergens gezegd dat ik 'weet' dat dit met DDOS te maken had. Ik heb enkel uitgelegd wat de afkorting DDOS betekent, en gezegd dat ik uitkwam op een node waar een deel van de naam DDOS-Blokker was. Zoals 2X gemeld: het enige dat ik hiervoor deed is een tracert van het onbereikbare adres die tot daar ging en niet verder.
Dat ik niet meer kenniss van zaken heb is ook de reden dat ik hier ten rade kom bij personen die er meer van weten, en die personen wijzen wel degelijk naarhet deel uitmaken van DDOS.
Momenteel is er geen enkele andere verklaring, dus voortgaande op de kennis van degenen die de materie beter beheersen heb ik de info die ik zocht. En als ik alles optel hier is 1+1 = 2

[AfAX]

Verleden week maandag en dinsdag was er een probleem met de DES-1005D switch van telenet. Dinsdag werden er testen vanop afstand gedaan maar kreeg de first line tijdens mijn telefoontje mijn netwerk niet meer aan de praat, hij zag wel problemen op de router. Hij stelde voor om een technieker langs te sturen de woensdag.

Toen ik later die dag de switch resette werkte het terug, er was ook geen onverklaarbare trafiek meer.
Ik bracht hen hiervan op de hoogte. Er werd beslist om toch een check-up technieker gratis (zolang er in mijn infrastructuur geen problemen waren) langs te sturen.
De volgende dag zag ik niemand. Mijn afspraak was ook verdwenen in 'mijn telenet'. Ik stuurde een bericht via de site met mijn grieven in.

In de namiddag belde een medewerker me op met de geijkte excuses, zo worden ze opgeleid . De afspraak werd opnieuw geboekt voor vandaag. Als reactie op het aankaarten van het feit dat ik reeds verschillende malen geprobeerd had om info van de technische dienst te krijgen en inzicht te hebben in wat ze juist gedurende die 2 weken al getest hadden kreeg ik de vrijdag een SMSje met de kort en bondige boodschap "alle trafiek gaat vie uw modem. Mja da wist mijn kleine teen ook.

Dat de technier vandaga kwam, kwam goed uit, want sinds dit weekend had ik weer 2.5 à 3G per dag uploadverkeer dat niet te verklaren viel (ik had zelf alle toestellen s nachts uitgeschakeld en de trafiek ging gewoon door), en ik had dit dus rustig laten doen zonder modem, switch of router te resetten.

Ik legde alles uit, maar de technieker zie dat het sowieso het beste was dat de oude infrastructuur vervangen werd door een nieuwe all-in-one modem/switch/router. Verder testte hij ook de TV, kabel, wifi, ... Zijn verplichte verkoopspraatjes en info over reeds gekende apps en pakketten kwamen er ook aan te pas. Het was een vriendelijke kerel. Hij legde me zelf uit dat ik mijn oude modem in de living kon gebruiken voor een sterker signaal, niettegenstaande het feit dat ik een perfecte wifi ontvangst had . Issue solved dus.

[ubremoved_539]

Dat die DLinkjes af en toe de geest geven (en je deze eens gewoon uit het stopcontact moet trekken) zou ondertussen toch geweten mogen zijn bij TN

Dat men hiervoor een technieker wil langs sturen is dan ook helemaal te gek.