Der Feind in meinem Haus

Wenn die eigenen Geräte eine DoS-Attacke ausführen

Über seinen Internet-Provider zu schimpfen ist immer en vogue. Zu langsam, bringt nicht die vereinbarte Geschwindigkeit und überhaupt. Auch wenn schnelles Internet für uns ein Traum ist, zumindest stabil sollte es sein. Und das ist es nicht. Seit gefühlt schon ewig ist der DSL-Anschluss vom Verlust genau eben dieser Außenanbindung geprägt. Nicht immer, aber so oft, dass es nervt. Und ebenso scheinen die Störungen mehr zu werden, so dass teilweise minutenlang keine Internetverbindung zustande kommt. Das Eventlog zeigt keine Auffälligkeiten, nur Ping-Pong aus Aufbau und Verlust der WAN-Verbindung.

Schnell ist das auf Provider und/oder den billigen Standardrouter geschoben. In diesem Fall Vodafone mit einer Easybox 804 (die in der Bedienung gar keinen so schlechten Eindruck macht, das Wichtigste ist da).

Bevor man allerdings direkt ein Ticket beim Provider aufmacht erst einmal ausschließen, dass der Nutzer zu dumm ist. Also:

  1. Kabel in eine andere Buchse der TAE-Einheit gesteckt. Vielleicht sind die Kontakte korrodiert.
  2. Nach Routerupdates suchen (keine vorhanden).
  3. Router komplett zurücksetzen (natürlich vorher die Einstellungen sichern, insbesondere die WLAN-Passwörter).

Dumm nur, wenn man sich beim letzteren für super organisiert hält, den Ordner mit den Unterlagen aus dem Schrank zieht und … nach Zurücksetzen feststellt, dass dort die Zugangsdaten nicht vorhanden sind. Also, jetzt gar kein Internet mehr und keine Möglichkeit dieses wieder in Betrieb zu nehmen. Sonntag Abend um 22.30 Uhr.

Aber der Provider hat eine kostenlose 24/7-Hotline. Die Frage nach dem Kundenpasswort löst zwar eher Fragezeichen bei mir im Kopf aus (ist bestimmt bei den Zugangsdaten), aber durch Beantwortung diverser anderer Fragen ist die Identität letztendlich geklärt. Problem geschildert und neue Zugangsdaten per SMS innerhalb der nächsten 15 Minuten versprochen bekommen. Hat dann doch länger gedauert, aber am nächsten Morgen waren sie da. Schnell eingegeben und alles geht wieder. Über den Support lässt sich schon einmal nicht meckern. Die Zugangsdaten habe ich dann übrigens in einer Email gefunden. Allein aus Sicherheitsgründen hätte ich geschworen, die sind damals per Briefpost gekommen.

Am nächsten Abend die Ernüchterung, alles ist so stabil, oder eben nicht, wie vorher. Der Plan: Ein Ticket beim Provider wegen defekten Routers oder defekter Anbindung eröffnen lassen.

Und dann beim Stöbern einen Bericht gefunden in dem über den Google Home Max und das massive Aussenden von Multicastpaketen berichtet wird, die den Router zum Absturz bringen können. Und anscheinend sind auch andere Cast-fähige Geräte (Chromecast, Android-Smartphones) davon betroffen. Aus dem Gedächtnis hätten sich die Probleme auch ungefähr zu dem Zeitpunkt verschlimmert als der neueste Smartphone-Zuwachs ins Netz gekommen ist.

Also nachschauen. Wireshark anwerfen und tatsächlich, da sind sie, die gefürchteten mDNS-Pakete. Ca. 60% des gesamten Datenverkehrs. Und gemessen lediglich kabelgebunden an einem normalen PC.

/images/pakettrace.png

Im zeitlichen Verlauf gut zu erkennen ist die Spitze direkt nach dem Einschalten des Smartphones für nur einige wenige Sekunden. Wer weiß, was noch alles über die Luftschnittstelle gegangen ist und schon gar nicht mehr weiter geleitet wurde. Eine Erklärung wäre dies auch, warum sich das Smartphone direkt nach dem Aufwecken sehr zäh in der Bedienung anfühlt. Wenn es doch erst einmal tausende Pakete versenden muss…

/images/paketgraph.png

Verursacher ist hier ein relativ altes Nexus 5 mit Android 6, Marshmallow. Die meisten Berichte konzentrieren sich auf Geräte mit Oreo, aber mindestens Nougat.

Als erste Gegenmaßnahme die Chromecast vom Netz getrennt und die Google Home-App, die für die Inbetriebnahme und Ansteuerung der Chromecast zuständig ist, auf allen Smartphones deinstalliert. Geholfen hat es nichts, die Pakete kommen trotzdem weiter angeflogen. Entweder die Funktion ist tief im System verankert oder die anderen Cast-fähigen Apps (Youtube…) lösen das Problem auch aus.

Abhilfe schaffen soll ein Update der Google Play Dienste. Mal schauen, wann dieses überall eingetroffen ist. Den Fehler beheben soll Version 11.9.74, aktuell ist auf den Telefonen aber noch 11.9.51.

Ob dies dann die Wurzel allen Übels war und sich die Situation bessert bleibt abzuwarten. Auf ein Routerupdate zu hoffen, das besser mit dieser ungewollten Denial-of-Service-Attacke im eigenen Netz umgeht, dürfte länger dauern.

Update 04.02.2018: Das war schon einmal nichts. Alle Updates sind eingespielt (Version 11.9.75), die mDNS-Pakete auf ein Normalmaß zurückgegangen und es gibt immer noch Verbindungsabbrüche. Also zurück von vorne…