Netzwerkangriff DoS.Generic.Flood.TCPSYN

[HammerP]

Hallo zusammen,

 

seit heute Morgen bekomme ich ständig die Meldung:

 

Netzwerkangriff wurde erkannt.

 

DoS.Generic.Flood.TCPSYN

 

Was kann ich machen? Existiert hierfür eine Lösung ??

 

Viele Grüße

Patrick

[Schulte]

Hallo @HammerP, willkommen im Forum.

Kannst Du bitte in den Berichten nachschauen, von welcher IP-Adresse (und auf welchen Port) der Request kommt?

[HammerP]

Hat schon wieder aufgehört.

 

Name: DoS.Generic.Flood.TCPSYN
Objekt: TCP von 192.168.2.145 an 192.168.2.139:5357
Erweitert: 192.168.2.139

 

Viele Grüße

[Schulte]

Hi @HammerP,

der “Angriff” kam aus Deinem eigenen Netzwerk.

Hast Du die .145 fest vergeben oder wurde die IP dynamisch zugeteilt?
Ich könnte mir ein NAS, ein TV-Gerät oder einen Drucker als “Abender” vorstellen.

[HammerP]

Wie gesagt es hat aufgehört und es kommen keine Meldungen.

Alles wieder in Ordnung und vielen Dank für die Unterstützung.

[frank.td]

Hallo,

interessenhalber sollte man dennoch ergründen, wo das her kommt.

Die IPs und deren Zuordnung findest du im Routermenü.

 

Gruß frank.td

[sibhow]

Hallo zusammen,

heute, Sa, 27.11.2021 zw. 16:12:21 und 16:44:40  hab ich das erste Mal einen Netzwerkangriff selber erlebt, etwa alle 2 Minuten.

Dann hab ich meinen Router neu gestartet, ich bekomme dann automatisch eine neue IP Adresse zugewiesen. Danach stoppte der Angriff.

Hier die Details:
Benutzer: …...

Benutzertyp: Aktiver Benutzer

Komponente: Schutz vor Netzwerkangriffen

Ergebnisbeschreibung: Gesperrt

Name: DoS.Generic.Flood.TCPSYN

Objekt: TCP von fe80::b25c:daff:fefa:19fa an fe80::1092:3fc6:cbd8:7194:5357

Erweitert: fe80::1092:3fc6:cbd8:7194

Erscheinungsdatum der Datenbanken: Heute, Sa, 27.11.2021 13:33:00

Sollen wir so etwas überhaupt berichten oder wird das automatisch von Kaspersky Internet Security übertragen?

Danke und Gruss, Holger

[Schulte]

Hallo @sibhow, willkommen im Forum.

Melden brauchst Du einen Angriff nicht.
Das hat zwei Gründe:
kommt der Angriff von außen, ist die IP entweder gefälscht oder wechselt ständig.
kommt der Angriff aus Deinem eigenen Netzwerk, kann KL nichts tun ausser ihn zu blocken. (Nach der Ursache können wir natürlich trotzdem suchen.)

In Deinem Fall scheint der “Angriff” von außen zu kommen, bei IPv6 ist das aber schwer zu sagen. Jedenfalls beginnt die IP nicht mit “fd”, das wäre ein Hinweis auf das lokale Netz.

Da es nach dem Neustart des Routers ruhig geworden ist, dürfte die Angelegenheit vorerst erledigt ein.