Computerbeveiliging - Hoe je bad guys buiten de deur houdt

vreemde routeractiviteit

22-04-2016, 17:22 door Anoniem, 11 reacties
Hallo!

sinds een tweetal dagen constateer ik een rare routeractiviteit in de routerlogs. Het vreemde eraan dat mij dit nooit eerder is opgevallen, in ieder geval niet in deze frequentie. Het herhaalt zich om de 30 minuten. Het ip adres kan ik niet plaatsen.
04/21/2016 04:19:03 DHCP Client: [ATM3]Receive Ack from 10.230.192.1,Lease time=3600
04/21/2016 04:19:03 DHCP Client: [ATM3]Send Request, Request IP=10.230.198.66
04/21/2016 03:49:03 DHCP Client: [ATM3]Receive Ack from 10.230.192.1,Lease time=3600
04/21/2016 03:49:03 DHCP Client: [ATM3]Send Request, Request IP=10.230.198.66
04/21/2016 03:19:03 DHCP Client: [ATM3]Receive Ack from 10.230.192.1,Lease time=3600
04/21/2016 03:19:03 DHCP Client: [ATM3]Send Request, Request IP=10.230.198.66
04/21/2016 02:49:03 DHCP Client: [ATM3]Receive Ack from 10.230.192.1,Lease time=3600
04/21/2016 02:49:03 DHCP Client: [ATM3]Send Request, Request IP=10.230.198.66
04/21/2016 02:19:03 DHCP Client: [ATM3]Receive Ack from 10.230.192.1,Lease time=3600

Ik heb de router al opnieuw opgestart zonder resultaat (een reset wilde ik nog even mee wachten totdat ik duidelijkheid heb). Voordat ik de router opnieuw heb opgestart heb ik wel nog een log gemaakt waarin ik even heb gekeken. Daarin zag ik dat deze melding al eerder voorkwam maar niet zo frequent als nu. De oudste log 16/4 laat zien dat deze melding 1x op die dag is voorgekomen. De 17e ook 1x. Daarom is het me eerder ook niet opgevallen. Met het internet heb ik (tot nu toe) geen problemen. Vanaf de 20e staat het logboek vol met deze melding.

Graag zou ik willen weten wat dit voor een meldingen zijn en waarom deze nu ineens zo frequent (en zelfs snachts als alles "uit" is) voor komen. Ik scan mijn pc's regelmatig en download niet.

Alvast bedankt!

Mark
Reacties (11)
22-04-2016, 22:27 door Anoniem
Je router krijgt een leasetijd van 60 minuten. Dus gaat hij de lease al na 30 minuten vernieuwen. Dus dat klopt. Misschien is je provider zij dhcp server nu zo ingesteld en vroeger niet.
23-04-2016, 08:54 door [Account Verwijderd]
[Verwijderd]
23-04-2016, 09:41 door [Account Verwijderd]
23-04-2016, 10:08 door Anoniem
Hallo mensen,

Zoals Rai03 al aangeeft heb ik dit probleem ook in het KPN forum gemeld. In eerste instantie kreeg ik daar geen antwoord, daarom hier een topic gestart om zo snel mogelijk duidelijkheid te krijgen, omdat ik bang was dat iemand van buitenaf iets op mijn netwerk aan het doen was.

In het kpn forum is hierover nu duidelijkheid gebracht. 1e post van dit topic bevestigd dit ook.

@Buran, de oudste logs van 16 en 17 tm de 20e lieten een lease time van 86400 zien. Daarna werd de lease time vanaf 21e ineens 3600 waardoor ik dus die overload aan logs kreeg. waarom dit ineens 3600 werd is me niet duidelijk maar op t KPN forum vermoeden ze een bug in de firmware van de V8 router. Vanaf gisteren zijn de meldingen sinds half5 smiddags opgehouden. De laatste melding geeft dan ook weer een leasetime van 86400 aan.

In ieder geval ook hier bedankt voor de reacties. Excuus dat ik iets te snel ben geweest om ook op dit forum een topic te starten, achteraf gezien was dit niet nodig geweest. Zoal

Prettig weekend!
23-04-2016, 21:28 door Anoniem
Het kan zijn dat kpn werkzaamheden aan her uitvoeren was en voor de zekerheid de leasetime van je modem laag gezet heeft, zodat bij een nieuwe lease op een nieuwe range je minder lang of zelfs niet zonder werkend ip zit...

Lijkt me handig van kpn..
24-04-2016, 11:10 door Anoniem
De leasetijd is geen instelling van je modem maar van de DHCP server, de centrale kant dus.
Die kan men inderdaad laag zetten als men bijvoorbeeld de adressen wil veranderen.

Welke dienst betreft dit? Ik wist niet dat KPN al RFC1918 adressen aan DSL klanten gaf...
(moest natuurlijk ooit gebeuren want de echte adressen zijn opgeraakt)

Heb je ook IPv6 op zo'n verbinding?
01-05-2016, 19:46 door Anoniem
Ik wist niet dat KPN al RFC1918 adressen aan DSL klanten gaf...
Ja, commerciële bedrijven die internetadressen gebruiken in de 10.xxx.xxx.xxx -range is inderdaad opmerkelijk...
Tenminste... als het de WAN-zijde (het grote internet) zou betreffen, en dat is voor mij nog maar de vraag.
Want dat is normaalgesproken "not done".

Ik denk daarom eerlijk gezegd dat het hier over een periodieke DHCP IP-refresh op het lokale LAN gaat.
Daarvoor is deze IP-range wél een gebruikelijke mogelijkheid.
En dit zou zowel door modemrouter als door op het lokale netwerk aangesloten apparaten in gang kunnen worden gezet.
In sommige (modem)routers kun je de zgn. leaseperiode van IP-adressen wijzigen, en in windows wellicht ook.

Ik heb hiervoor ooit eens in het windows register gekeken. Zoek daar maar eens op \Parameters\Tcpip
(wel goed op letten dat je door onkunde in het windows register geen cruciale dingen wijzigt!)
Waarschijnlijk vind je dan wel ergens een waarde die "lease" heet die met zo'n .....\Parameters\Tcpip -sleutel is verbonden
Het is waarschijnlijk gebruikelijk dat deze "lease"-waarde op: "0x00000e10 (3600)" staat.
Waarschijnlijk is dit geen cruciale waarde, en mag je het getal wel wat wijzigen, als je maar goed weet wat je doet.
Maar normaalgesproken is wijzigen van de DHCP lease-tijd helemaal niet nodig.

0x00000e10 (3600) is dus de "lease" waarde van de betreffende sleutel.
Oftewel het hexadecimale (aangegeven met "0x") getal 00000e10 is gelijk aan 3600 in het ons bekende decimale stelsel.

Want: 0xe10 is gelijk aan: e00 (=14x16x16) + 10 (=1x16) + 0 (=0) = 3600 in de meest gebruikte menselijke becijfering.

Net zoals 000003600 eigenlijk gewoon 3600 is.
En 3600 = 3000 (=3x10x10x10) + 600(=6x10x10) + 0 (=0x10) + 0 (=0) = 3600.

Dit getal 3600 betekent in dit geval: 3600 seconden, en is gelijk aan 60 minuten.
Volgens bepaalde RFC richtlijnen dient bij dynamische IP adressen (DHCP) na de helft van de leasetijd
een IP weer te worden ververst. En dan kom je dus keurig uit op die 30 minuten die jij in de logs waarneemt...

Conclusie: zo goed als zeker niets aan de hand, en volstrekt normaal.
Don't worry. Be happy. ;-)

Goeroehoedjes
02-05-2016, 08:48 door Anoniem
Ik bedenk me nu dat KPN dit soort adressen gebruikt in hun IPTV service.
Wellicht heb je zelf een router geconfigureerd en dit niet helemaal goed gedaan, of er is iets verkeerd geprovisioned
aan je aansluiting waardoor je op het IPTV netwerk zit met je Internet aansluiting.
02-05-2016, 15:39 door Anoniem
KPN, XS4all en Telfort hebben op de interface van het modem gewoon een routeerbaar ip-adres staan, dus geen RFC1918 adres. Mensen met IPTV krijgen van KPN (KPN verzorgt dit ook voor Telfort en XS4all, zelfde platform) een VLAN aangeboden, waar de settop-box voor de tv weer gebruik van maakt. En die VLAN heeft een RFC1918 adres in de range van 10.xxx.yyy.zzz.
03-05-2016, 16:45 door yobi - Bijgewerkt: 03-05-2016, 16:46
Inderdaad een RFC 1918 adres. Vroeger zag ik wel eens een 10.x.x.x adres voor telefonie (VoIP).
03-05-2016, 21:18 door Anoniem
RFC1918:

10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Volgens mij zijn er per IP-range officieel verder geen bepaalde functies voor vastgelegd.
Je vindt ze meestal in je router als default LAN adres range. (meestal 192.168.xxx.xxx, maar hoeft niet altijd)
Als een provider het ergens voor gebruikt is dat toeval.

(overigens op 23-04-2016, 10:08 was het oorspronkelijke probleem al opgelost.
Daar hoeven we het dus niet meer over hebben)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.