obey-robots.txt
Onderwerp bekijken
 Onderwerp afdrukken
abuse@vodafoneziggo.com
SaintArnoulf
Sinds december 2019 heeft mijn router last van een DoS-aanval vanaf een IP-adres op het netwerk van Banco de Mexico. Het heeft nu al vier weken geen zin om dit te melden bij e-mailaccount abuse@vodafoneziggo.com omdat dit account geen feedback geeft op de meldingen en de DoS-aanval vanaf hetzelfde IP-adres blijft plaatsvinden.

Ik groet bijna altijd hartelijk, maar ik vind dit na vier weken wachten niet zo logisch meer,

Hr. F.J. Roebersen.
 
Black Tiger
Beste heer Roebersen.

Dit forum is niet van Ziggo zelf, maar is een onafhankelijk forum waar Ziggo klanten onderling elkaar proberen te helpen.

Abuse meldingen horen normaliter verzonden te worden naar de veroorzaker.
Aangezien dat in Mexico is begrijp ik wel dat u het via Ziggo probeert, naar het juist abuse adres zou de mail in het Engels moeten in elk geval.

Maar of het nu Ziggo is of een ander bedrijf, van een abuse afdeling krijgt men slechts van enkelen een terugkoppeling.

Dat gezegd hebben de ben ik het met u eens dat 4 weken nogal aan de lange kant is. Het lijkt mij voor de hand liggend dat Ziggo u dan op een andere wijze zou moeten helpen, bijvoorbeeld door u van een nieuw ip te voorzien.
Schijnbaar kan dat tegenwoordig alleen door een modem te ruilen (kan wel anders, maar schijnbaar mag dat niet meer binnen de Ziggo structuur).

Helaas werkt webcare niet meer op externe forums. Echter om gedegen hulp hiervoor te krijgen zou ik toch willen verwijzen naar de Webcare mensen van Ziggo.
Deze kunt u het best benaderen via Facebook, Twitter of het gebruikersforum van Ziggo zelf alwaar ook medewerkers van Ziggo aanwezig zijn.

Hopelijk wordt het dan snel voor u opgelost.

Alleen nog even een vraag. Hoe weet u dat het om een DDOS aanval gaat?
Greetings, Black Tiger
 
SaintArnoulf
Allereerst hartelijk dank voor je reactie.

Omwille van mijn privacy plaats ik hier zo min mogelijk gegevens uit het log-bestamd van mijn Router. Ik vertel alleen dat mijn IP-adres benaderd blijft worden vanaf een IP-adres in een IP-cluster van Banco de Mexico. Mijn Multi WAN Router is een QNO QVF7303. Deze registreert deze benadering in het log-bestand consequent als een DoS-attack:
Jan 16 02:35:34 2020Kernelkernel: [DOS] Block Src IP:[ 170.70.NN.NNN] from WAN

Hierbij sluit deze Router niet alleen het inkomende verkeer van dit remote IP-adres af, maar impliciet ook al het uitgaande verkeer. Omdat hiermee alle communicatie met de provider stopt is deze benadering van mijn Router zeer hinderlijk.
 
Black Tiger
V.w.b. mijn reactie graag gedaan.

Log bestanden hebben weinig met privacy van doen omdat er alleen interne ip adressen genoemd worden over het algemeen, waar niemand iets mee kan.
Maar dat maakt verder uit.
Mocht je willen dat ik er een nadere blik op werp kun je evt. via een prive bericht enkele regels log sturen. Als ze meer info bevatten kan ik vermoedelijk wel zien wat er aan de hand is.

Je uitleg is voldoende. Ik vroeg het speciaal omdat het heel vaak zo is dat er vanuit systemen bepaalde brute-force aanvallen worden gedaan, ook op gebruikers zoals wij.
Een DDOS is iets anders. Dat is een doelbewuste aanval met zoveel (tcp en/of UDP) pakketten (normaliter gericht op een bepaalde service bijv. webserver) zodat de verbinding totaal dicht slibt. Een dergelijke aanval is niet lang vol te houden en zeker niet vanuit 1 computer. Goed uitgeruste hackers zijn hooguit in staat zoiets enkele uren vol te horen, zeker geen maanden.

Het ziet er dus eerder naar uit dat het om een continue poortscan of bruteforce aanval bijv. om wachtwoorden te raden als het al zo lang plaats vindt en de router deze foutief interpreteert als DDOS aanval.

Wat ik persoonlijk nogal vreemd vind, is dat de router dan ook nog eens het verkeer naar buiten gaat afsluiten, dat is erg ongebruikelijk en daar heb ik nog nooit van gehoord. Zelfs niet op servers van hosting bedrijven.

Daarom adviseer ik om de configuratie van de router eens na te kijken en te zorgen dat de verbinding naar buiten niet door de router afgesloten wordt indien mogelijk. Dat zou al een deel van het probleem oplossen.
Want aanvallen en brute-force pogingen zullen er altijd zijn.
Greetings, Black Tiger
 
SaintArnoulf
Het log-bestand bevat niet zo heel veel informatie. Over de Denial of Service wordt alleen een IP-adres in een cluster van Banco de Mexico vermeld. Naar een reden of oorzaak moet men dus gissen.

Het kabel modem is van het merk Technicolor. Deze staat al langer dan een jaar tot tevredenheid in 'Bridge Mode'.

Het probleem is ontstaan toen het RJ45-stekertje voor WAN2 van mijn centrale Multi WAN Router per abuis in de WAN-poort van mijn VDSL2-modem zat. Deze VDSL2-modem betrekt zijn signaal van een RJ11-stekertje. WAN2 moest in 'DHCP Mode' aan LAN1, LAN2, LAN3 of LAN4 worden gekoppeld. Dit zit alweer een maand naar behoren.

Nieuwkomer op mijn netwerk is sinds ditzelfde moment een apparaatje van Enphase Energy Inc. dat informatie van mijn zonnepanelen doorgeeft. Deze werkt bekabeld in 'DHCP Mode' via mijn VDSL2-modem. Deze heeft in december 2019 misschien een keer op de verkeerde poortconnector voor het eerst contact met een server gelegd. Sindsdien zijn alle apparaten al verschillende keren enige tijd van de spanning geweest, o.a. vanwege een stroomonderbreking van het energienetwerk.

In het log-bestand valt alleen de interactie met de 'Network Service Detection' op. Deze is echter verklaarbaar. Eerst is er een 'NSD Success', dan een DOS die wordt geblokkeerd en dan een 'NSD Fail'. Ik vermoed dat deze NSD het verkeer blokkeert. NSD benadert natuurlijk enkele servers die met een ogenschijnlijke DOS-response zouden kunnen reageren. Voor NSD zijn er enkele servers nodig, o.a. een DNS-host en een provider-host. Ik heb het zo logisch mogelijk ingesteld, maar welke servers geven een veilige response? Ik verwacht hier geen oorzaak te vinden omdat dit meer dan een jaar goed werkte toen het probleem na het aansluiten van het nieuwe apparaat van Enphase Energy Inc. begon. Er is dus wel een nieuw MAC-adres op mijn netwerk.

Ik tast nog in het duister welke maatregel ik op basis van het bovenstaande nu precies zou moeten nemen. Je beste idee is waarschijnlijk om een e-mail in het Engels te sturen naar een abuse-account van Banco de Mexico.
 
Black Tiger
Het verhaal wordt steeds vreemder. Heeft u een VDSL2 modem? Heeft u dan nog een tweede internet aansluiting? Want Ziggo werkt niet met VDSL modems.

Een RJ11 stekker is ook niet de juiste wijze van aansluiting om daar een Ziggo internet verbinding aan te koppelen. Netwerk wordt normaliter namelijk niet via een RJ11 stekker gedaan en die heeft ook niet de juiste aansluitingen daarvoor.

Een VDSL2 modem kan men dus feitelijk alleen als switch in een netwerk omgeving gebruiken, maar dan zal met 1 van de 4 LAN poorten moeten gebruiken om de verbinding te leggen, voorzien van een RJ45 stekker uiteraard.
RJ11 is uitsluitend vor telefonie en als dit al met netwerk werkt, is dat verbazingwekkend maar zal ook niet de juiste snelheden kunnen behalen.

Ik blijf nog steeds van mening dat het zich niet om een DDOS kan handelen omdat dit technisch gesproken gewoonweg niet mogelijk is vanaf 1 ip.

De beste oplossing zal inderdaad een email in het Engels zijn naar de abusedesk die bij dat betreffende ip hoort.
Ik zou dan wel volledige log bewijzen bij voegen anders wordt er over het algemeen niets mee gedaan Hoeft niet een hele logfile maar op zijn minst een stuk of 5 volledige regels.

De enige andere mogelijkheid is zoals gezegd via het officiële Ziggo forum een poging wagen om ofwel hun er iets aan te laten doen of u van een nieuw ip te voorzien.
Greetings, Black Tiger
 
SaintArnoulf
Mijn verhaal was nooit vreemd. Ik sprak in mijn eerste bericht waarschijnlijk al over een Multi WAN Router. Als ik zoiets ergens meldt, dan mag men er vanuitgaan dat er ook sprak is van een Multi WAN configuratie.

In een opvolgend bericht gaf ik aan dat de WAN2-poort van deze centrale router per abuis verkeerd gekoppeld is geweest. De WAN1-poort is verbonden met de kabel modem van Ziggo. Deze staat in 'Bridge Mode' en heeft last van een Denial-of-Service-attack. Deze attack is geen Distributed DoS-attack. De attack wordt gedaan vanaf slechts één IP-adres uit een cluster van Banco de Mexico.

De RJ11-steker heeft bij de VDSL2-modem steeds in de RJ11-connector van de VDSL2-aansluiting gezeten. Het ZyXEL-modem van Online.nl heeft echter ook een ongebruikte WAN-poort. Poort WAN2 heeft Internet nodig, maar zat per abuis een korte tijd aan deze WAN-poort gekoppeld i.p.v. aan LAN1, LAN2, LAN3 of LAN4. Deze bieden in 'DHCP Mode' het Internet van de VDSL2-aansluiting. De Multi WAN Router profiteert van het Internet van één van de LAN-poorten van deze switch.

De e-mail in het Engels is al verzonden. De beheerder van het cluster bounced echter mijn e-mail. Ik heb de korte e-mail doorgestuurd naar de postmaster van Banxico. Enkele regels van een log-bestand of een afbeelding hiervan zal ik nasturen naar deze postmaster.
 
Black Tiger

Quote

Als ik zoiets ergens meldt, dan mag men er vanuitgaan dat er ook sprak is van een Multi WAN configuratie.

Nee niet perse want er zijn veel mensen die een multi one router als enige router hebben. Het is dus geen automatische conclusie dat er dan ook van multi-wan gebruik wordt gemaakt. Dat gebeurt meer niet dan wel. Ik kan dat van hieruit niet zien en ga er dus van uit dat het een stand alone router is omdat dit het meeste voor komt.
Ik ken u verder niet dus weet ook niet dat ik daar dan in uw geval wel van uit kan gaan. U moest eens weten wat ik allemaal tegen kom van zaken waar je normaliter van uit kunt gaan maar die feitelijk niet zo zijn.

Over de verkeerde koppeling sprak u pas in uw voorlaatste bericht en daar komt ook het eerst die RJ11 ter sprake du daar reageer ik ook op.
Multi-WAN kan ook op andere wijze gebruikt worden, het was me dus niet bekend dat er een andere ADSL aansluiting aanwezig was.
Vandaar ook dat ik duidelijk vroeg of er een tweede internet aansluiting aanwezig was. U moest eens weten hoe vaak ik hier en daar vragen krijg en wat mensen allemaal aan elkaar knopen met allerlei stekkertjes.
En dat soms ook nog met de gekste of duurste apparatuur.

Door uw laatste bericht is me nu wel duidelijk hoe alles aangesloten zit.

Vreemd dat de beheerder van het cluster een mail bounced. Normaliter moet elke eigenaar van ip adressen voorzien zijn van een werkend abuse adres. Als dat niet het geval is kan men eventueel nog een klacht daarover indienen bij het ICANN.

Postmaster of hostmaster adressen zijn feitelijk volgens de RFC's ook verplicht maar worden heel vaak of niet aangemaakt, of direct doorverwezen naar de prullenbak. Uitzonderingen daargelaten.

Ik hoop in elk geval van harte dat het postmaster adres wel het juiste gevolg gaat geven zodat de overlast eindelijk stopt.
Greetings, Black Tiger
 
SaintArnoulf
Firmware Version : v2.0.26.12-ls

Jan 14 00:18:08 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 00:19:35 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 00:19:37 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 00:23:01 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 00:24:45 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 00:24:46 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 00:28:21 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 00:29:53 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 00:29:55 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 00:30:29 2020 QNO System Log: User admin login success from 192.168.1.11

Jan 14 00:33:28 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 00:35:02 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 00:35:02 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 00:38:37 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 00:40:10 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 00:40:11 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 00:43:41 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 00:45:18 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 00:45:19 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 00:48:59 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 00:50:26 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 00:50:28 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 00:54:06 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 00:55:37 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 00:55:40 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 00:59:10 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 00:59:56 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:00:28 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:00:32 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 01:05:08 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 01:05:38 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:05:38 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 01:09:18 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 01:10:46 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 01:10:50 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:14:19 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 01:15:57 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 01:15:59 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:19:22 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 01:21:06 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 01:21:07 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:25:14 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 01:26:16 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:26:20 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 01:30:54 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 01:31:24 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 01:31:26 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:34:47 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 01:36:35 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:36:37 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 01:40:23 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 01:41:42 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 01:41:43 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:45:16 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 01:46:51 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 01:46:53 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:50:59 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 01:52:01 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 01:52:02 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:56:06 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 01:57:10 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 01:57:12 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 02:00:42 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 02:02:18 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 02:02:21 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 02:06:23 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 02:07:27 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 02:07:28 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 02:10:58 2020 QNO System Log: NSD FAIL WAN[1]

Jan 14 02:12:35 2020 QNO System Log: NSD SUCCESS WAN[1]

Jan 14 02:12:36 2020 QNO kernel: [DOS] Block Src IP:[170.70.94.208] from WAN

Jan 14 02:17:09 2020 QNO System Log: NSD FAIL WAN[1]
 
Black Tiger
Inderdaad geeft die router een wat summiere log qua gegevens. Jammer dat daar niet meer uit te halen is. Sad

Het abuse adres van 170.70.94.208 is abuse@lacnic.net maar die had u al gevonden schreef u.
Wat ik dan weer interessant vind is dat het domein lacnic.net geregistreerd is in Uruguay. Niet best als deze bounced voor zo'n organisatie die toch ook al dik 20 jaar bestaat.
Greetings, Black Tiger
 
Spring naar forum:
Nieuw onderwerp Antwoorden
Gebruik BBcode of HTML om naar; 'abuse@vodafoneziggo.com', te verwijzen!
BBcode:
HTML:
Vergelijkbare onderwerpen
Onderwerp Forum         Laatste bericht
VodafoneZiggo start landelijke uitrol supersnel Gigabit-internet Ziggo nieuws : 1 10-10-2019
VodafoneZiggo test ‘netwerk van de toekomst’ Ziggo nieuws : 1 22-08-2018
Gratis OV voor 7.500 VodafoneZiggo medewerkers Ziggo nieuws : 1 09-08-2018