Skip to main content

Beste,

Klantenservice verwijst mij door naar dit forum.

Sinds geruime tijd ervaar ik problemen binnen het thuis netwerk(prive).

Onverklaarbare verbinding pogingen van bijvoorbeeld: 23.128.64.141, tijdelijke hoge MS van 1tot3 ms naar 40tot200ms en lage download/upload snelheid (van 400mb/s drop naar 60mb/s) met verschillende speedtest o.a ookia gemeten, welke zichzelf oplost binnen gemiddeld 1a2 uur of overschakelen naar LAN verhelpt de data drop ook. Het wegvallen van verbindingen per device, terwijl de andere devices verbinding blijven houden.

Voorheen nergens last van gehad en mijn overstap van Ziggo was dan ook zeer aangenaam en gevoelsmatig echt een upgrade.

 

Vermoeden bestaat dat mijn netwerk geïnfecteerd is en/of specifieke apparaten worden benaderd, de open poorten is daarbij geen goede aanvulling, ik zie liever alles gesloten!

Ik maak geen gebruik van windows, Upnp, vnc of port forwarding ect.

BIj nader onderzoek kwam ik o.a het volgende tegen:

 

nmap -sV 192.168.2.*

 

(TV ontvanger)

Nmap scan report for 192.168.2.1
Host is up (0.0024s latency).
Not shown: 996 closed ports
PORT      STATE SERVICE    VERSION
80/tcp    open  tcpwrapped
9011/tcp  open  ssh        Dropbear sshd 2019.78 (protocol 2.0)
49152/tcp open  upnp       Portable SDK for UPnP devices 1.6.22 (Linux 4.9.132-1.10; UPnP 1.0)
49153/tcp open  upnp       Portable SDK for UPnP devices 1.6.22 (Linux 4.9.132-1.10; UPnP 1.0)

 

(Gateway)

Nmap scan report for _gateway (192.168.2.254)
Host is up (0.0038s latency).
Not shown: 991 filtered ports
PORT      STATE  SERVICE VERSION
53/tcp    open   domain?
80/tcp    open   http    Octoshape P2P streaming web service
113/tcp   closed ident
631/tcp   closed ipp
50000/tcp closed ibm-db2
50001/tcp closed unknown
50002/tcp closed iiimsf
50003/tcp closed unknown
50006/tcp closed unknown

 

Optioneel: (android 13 telefoon - eenmalig gemeten, mogelijk false)

5901/tcp filtered vnc-1

1093/tcp filtered proofd
3889/tcp filtered dandv-tester
9666/tcp filtered zoomcp

 

(Alle andere devices)

Host is up (0.0098s latency).
All 1000 scanned ports on 192.168.2.* are closed

 

Graag ontvang ik informatie betreft de open ports van de nmap scans tv ontvanger, ik kan niet achterhalen wat er achter draait, mijn kennis komt helaas niet tot daar.

Ook zou ik graag informatie ontvangen waar ik de logg van de router kan bekijken, ik kan dit nergens vinden?

Graag uitleg voor een kind van 18 welke de wil heeft om te leren.

 

Groet bvd

J

Voor zover ik zie staan die poorten enkel in je eigen netwerk open, en niet naar buiten toe.


​Hallo @Jacksons 

...

Onverklaarbare verbinding pogingen van bijvoorbeeld: 23.128.64.141, ...

 

Waar zie je dat?

Het is een bekend IP adres wat 443 poorten scant, maar dat zou door je KPN modem al tegengehouden moeten worden als je geen portforward van 443 hebt ingesteld.


@Jacksons Adres 23.128.64.141 behoort tot de hosting site https://unvio.com/. Waarschijnlijk iemand de probeert jouw te DDosen

Verder zoals ander al zei, je scan binnen jouw intern netwerk en kan alleen zien open porten vanuit intern LAN. Dat is geen probleem. Om te zien vanuit buiten kan je b.v. https://pentest-tools.com/network-vulnerability-scanning/port-scanner-online-nmap gebruiken om je IP te scannen.

 


Dank voor de reacties.

De poorten staan inderdaad intern open, enig idee hoe ik kan ontdekken welke device/services de poorten openzet en/of ik deze kan sluiten wanneer ik erachter kom dat de processen gemist kunnen worden? Zijn de poorten van de TV ontvanger verklaarbaar richting KPN services? Ik heb ze liever dicht met kinderen in het huishouden en het nog steeds zo open internet.

 

Ik heb gebruik gemaakt van GRC- Gibson research company@ Shields up service om mijn externe poorten te checken en deze staan allemaal stealth mode op de 113 na, deze staat closed. Ook heb ik de door jullie aangegeven website gebruikt om de poorten te checken welke als resultaat geeft, all closed.

 

Omdat ik geen mogelijkheid heb tot de router log, probeer ik de verbindingen te checken via toolings zoals o.a: iftop op een compleet kale linux OS. Hier zie ik dan ook enige verbindingen voorbij komen o.a het voorgaande IP adres.

 

Tevens heb ik de router settings gecheckt en de router zou niet mogen reageren op Pings, Upnp staat uit evenals forwarding. Verder heb ik geen weet hoe ik de router verder dicht kan zetten/beveiligen.

Wanneer men zou binnenkomen vanuit een interne device/applicatie zal dat toch kunnen betekenen dat er poorten open worden gezet om dieper/verdere verbinding mogelijkheden te maken of heb ik dat fout? Dat bijvoorbeeld de Android device infected is en mijn netwerk van binnenuit opengezet wordt?


Heb je jouw bevindingen ontdekt met een computer die direct bekabeld is verbonden met je modem? 


Met het modem inderdaad, wifi geeft de problemen. Juist met LAN (direct in modem) lijken de problemen zich te verhelpen, zowel met de MS als de data/upload snelheid.

Het lijkt dus alsof ik op interne IP adresses wordt getarged, LAN kabel geeft mij een andere interne IP

Wanneer ik de problemen ervaar, sluit ik overal USB hubs met lan kabel aan zodat de devices geen problemen ervaren.


Zomaar een vraag: Ben je een online gamer? In die wereld zijn er wel eens mensen die internetverbindingen proberen plat te leggen.

Of dit het geval is, is moeilijk te beoordelen, maar even goed kan dit ook gewoon een slechte verbinding buiten je huis zijn, of aan je ISRA of FTU/ONT.

Of gewoon een slecht wifisignaal vanuit de modem of eventuele versterkers.


Ik zelf ben geen gamer, echter mijn kids wel. Ze hebben een Ipad (online met VPN) en Linux mint OS om offline te game. Wellicht zou toegang tot de router log een betere beoordeling kunnen bieden.

Ik ben zeer tevreden over het wifisignaal vanuit KPNs modem. Dit is altijd zeer stabiel en krachtig geweest. Een tijd geleden heb ik 3ms/896Download/823Uploadmbs gemeten op zolder, zonder versterker.


Heb je al KPN gebeld voor een lijnmeting?


Klantenservice stuurde mij juist door naar dit forum.

Ik zal KPN vandaag nog eens bellen voor een lijnmeting.


Als jij op de Experia Box/KPN Box geen port-forwardings hebt ingesteld en UPnP uit hebt staan dan staan alle poorten inkomend dicht.

Op welk apparaat zie je die "verbindingspogingen" vanaf IP adres 23.128.64.141 in de log staan?

Kan je hier een screenshot van plaatsen?


Update:

Elk apparaat is gereset en de IP connectie pogingen zijn (gelukkig) niet meer voorgekomen.

 

Helaas ondervonden dat de router geïnfecteerd was doordat ik niet kon update, de NTP tijd statisch vast stond en er continue devices vanzelf werden toegevoegd aan het netwerk, ook na het veranderen van admin pass/SSID pass. Dit werd opgelost en is niet meer voorgekomen na de complete reset binnenshuis.

De verbinding is inmiddels goed en stabiel  (continue boven de 500mb/s up/down exclusief de VPN).

 

Helaas nog steeds last van  DDos aanvallen welke upstream door KPN gefilterd zou moeten worden, echter is dit niet het geval en wij hebben daarom nog last van DDos aanvallen waardoor het netwerk tijdelijk uitvalt. Ook al zijn de kids niet aan het gamen. Inmiddels wel erachter gekomen dat het door een VPN lek gekomen is dat het IP adres gelekt was. Het kwaad is al gedaan maar wat nu?

 

Het loggen valt nog niet mee omdat het KPN modem zeer beperkt is en een log niet beschikbaar stelt voor consumenten zoals ik (althans ik weer niet waar ik dit kan vinden). Inmiddels mede om die reden een extra router aangeschaft en DD WRT geflashed. Ik ben tevens ook geen wireshark hero.

 

Graag hoor ik van jullie de mogelijkheden betreft het oplossen van dit probleem.

Een IP wissel zal het probleem alleen weerleggen naar een ander adres toe, dit zie ik daarom ook niet als een echte oplossing ivm de ipv4 schaarste. Tenzij geen andere optie geboden wordt verwacht ik dit van KPN.

Echter hoop ik wel op een goede oplossing omdat dit nu vrijwel dagelijks voorkomt en af en toe thuiswerken vrijwel onmogelijk wordt gemaakt evenals het fatsoenlijk browsen van internet ten tijde van een DDos. Ik kan mijzelf niet voorstellen dat KPN mij voor de rest van de toekomst op dit woonadres mij met deze problemen laat zitten. Moet ik dan echt een downgrade gaan doorvoeren (Ziggo) om een nieuw adres te krijgen en deze problemen op te lossen?

 

Een DDos preventie systeem wat alleen beschikbaar is voor bedrijven maakt dit natuurlijk nog erger om tegenaan te kijken..

 

Ik hoor graag van jullie.

 

 

 

 


Helaas ondervonden dat de router geïnfecteerd was ...

Wat bedoel je met "geïnfecteerd was"?

Wat voor een router is dat dan?


KPN Box 12.


KPN Box 12.

Die kan dan niet "geïnfecteerd" zijn.

Wat bedoel je daar dan mee?


Dan doe ik het vast verkeerd verwoorden. Wat betekent het dat wanneer iemand geen fysieke mogelijkheid heeft tot de KPN 12 box. Een update kan blokkeren, Server tijd vastzetten (niet dat hij niet synchroom loopt) en devices aan het netwerk kan toevoegen (per dag 5+) zelfs na het veranderen van de inlog gegevens zowel van wifi als admin.


En zijn dat dan devices die niet tot jouw apparaten behoren @Jacksons ?

Installeer eens de software advanced IP scanner op je Windows pc, dan kun je op IP- en MAC-niveau zien welke apparaten er met je modem/router verbonden zijn (geweest).

KPN gaat je geen ander WAN-IP-adres geven als daar geen technische noodzaak voor is zoals wissel koper naar glas, onderhoud netwerk e.d.

 

 


Dit zijn inderdaad geen devices die toebehoren aan dit huishouden. Dit vermoede ik in eerste instantie ook maar dit kon ik uitsluiten omdat wij ter behoeve van het onderzoek 2 dagen totale internet stilte hebben gehad vanuit KPN en alles via telefoon hotspots hebben gedaan. Alsnog bleven de devices oppoppen;

De MAC adressen waren zichtbaar in het KPN portaal en deze heb ik vergeleken met bestaande devices binnen het huishouden, dit waren ook telkens verschillende MAC adressen en geen enkele van deze kwamen overeen met de devices binnen ons huishouden. Tevens stonden bij vele van deze devices ook “ laatste keer verbonden 01-01-2001” wanneer ze offline/online sprongen.;

Helaas heb ik geen windows PC ik gebruik als tegenhanger Nmap voor linux (of heb je een betere suggestie voor Linux) welke na de volledige devices reset een schoon resultaat geeft. Ter verduidelijking ik heb op dit moment alleen nog last van de DDos aanvallen welke vrijwel om de dag wel een keer plaatsvinden. Geen enkel device welke niet tot dit huishouden behoorde heeft nog een nieuwe succesvolle connectie gemaakt na de complete reset dag.

 

 

“KPN gaat je geen ander WAN-IP-adres geven als daar geen technische noodzaak voor is zoals wissel koper naar glas, onderhoud netwerk e.d.”

In andere woorden betekent dit dat ik moet accepteren dat ik voor de rest van de toekomst met KPN een vrijwel dagelijks DDos moet accepteren omdat er vanuit KPN niets voor mij te betekenen valt? Want ik als consument kan er vrijweinig aan doen wanneer de data mijn huishouden al bereikt en ik met een static IP adres zit.

Groet


Als KPN jou een ander WAN-IP gaat geven, gaat jouw oude WAN-IP naar een ander en komt die ander eventueel met jouw problemen te zitten, dat gaat KPN dus niet doen.

Als je mobiele apparaten gebruikt, die hebben een steeds wisselend MAC-adres omwille van de veiligheid en ook steeds meer wifi drivers binnen een pc of laptop hebben wisselend MAC-adres aan staan, zo ook mijn Windows PC, dan heeft de ene keer dit MACadres en bij een volgende opstart een ander, ook weer vanwege de veiligheid.

Het is is ieder geval verstandig voor de gevoelige info zoals mailaccounts en KPN-accounts je wifi-wachtwoord aan te passen. Voor MijnKPN kun je gelukkig ook 2FA gebruiken @Jacksons 



@N.N.  Dat snap ik volledig, echter wat kan KPN dan wel doen om haar consumenten te beschermen voor de toekomst met KPN? Eventueel wil ik de DDos bescherming aanschaffen echter is deze niet beschikbaar voor een consument zoals ik. Ik kan mijzelf niet voorstellen dat KPN het zo laat zitten/gebeuren zonder probleem oplossend vermogen met het motto accepteer het maar. Ikzelf als consument van KPN kan er namelijk niks aan doen wanneer de DDos data vrijwel elke dag dit adres bereikt. Dus ik snap dat KPN dat niet gaat weerleggen naar een ander adres. Maar wat kan/gaat KPN dan wel doen?

Klopt, ook hier is rekening mee gehouden omdat op bijna alle apparaten de willekeurige MAC aanstaat. Door de bevestigde devices “hot” te controleren op haar MAC adresses/IP om vervolgens van het netwerk af te halen en met hotspots te verbinden wist ik zeker dat het geen devices waren van dit huishouden.

De volledige reset is al doorgevoerd en letterlijk elk bestaand account waar-dan-ook is ten tijde van de reset meegenomen. Echter blijven de DDos bestaan..


Gebruik je wel de beveiligde DNS-servers van KPN @Jacksons 

Speel je games, daar wil ook nog wel eens een kwaadardige tegenstander je de voet dwars zetten?

Als je via een betrouwbare VPN werkt, heb je het probleem dan ook of via de incognito-site van je browser?

Loop ook onderstaand artikel eens door via de Kennisbank wat KPN doet voor de particuliere klanten:

https://forum.kpn.com/kennisbank-veilig-online-152

 


Ik heb 3 verschillende DNS servers getest,, omdat het vermoede bestond dat het een DNS DDos kon zijn. Alle 3 geven ze nog steeds hetzelfde restultaat.

KPN

Google

Cloudflare

Hetzelfde geldt voor VPN.

AVG

Proton

NordVPN

Overal betaalde services afgesloten om maar tot een oplossing te komen, dus niet de gratis versies!

 

Ik ervaar bovenstaande als betrouwbare services, echter geen van alle biedt de oplossing naar niet geDDos te worden!

 


Als je zeker weet dat je geDdost wordt, weet je dan ook door wat en/of door wie, dan kun je daar een klacht indienen. Zie verder onderstaande KPN-blogs over internetveiligheid:

https://www.kpn.com/beleef/blog/help-ben-ik-gehackt-tips.htm

https://www.kpn.com/beleef/blog/veilig-internet-voor-jou.htm

https://www.kpn.com/service/internet/veilig-internetten/valse-email/netneutraliteit

meer handreikingen heb ik helaas niet voor je @Jacksons 


...en devices aan het netwerk kan toevoegen (per dag 5+) zelfs na het veranderen van de inlog gegevens zowel van wifi als admin.

Wat bedoel je hiermee?

Plaats anders eens een screenshot van dergelijke devices.


@Jacksons DNS servers beschermen jou niet bij inkomend attacks, ze adresseren jou IP adres direct en ga niet eerst naar een DNS servers. Hetzelfde geldt voor VPN. Het enige je kan doen is je router in te stellen stil zo mogelijk tegen inkomend aanvragen. 

DNS servers zoals malware DNS van cloudfare of KPN beschermen jou bij uitgaande traffic tegen malafide websites, ze geeft bij een aanvraag zulke websites geen IP adres terug.

De meeste DDOS zijn van gaming kiddies, dus je zou tegen jouw kinderen zeggen niet zomaar de IP adres te delen in spelen of websites.