Iobroker macht "DDOS-Attaken" auf mein Wlan ;) - Überlastet

Johann001

Hallo,

seit ein paar Tagen funktioniert mein Wlan nicht mehr. Nun bin ich drauf gekommen sobald ich den Iobroker auf meinem Raspberry Pi4 starte legt der das Wlan lahm. Obwohl er über Lan Kabel angeschlossen ist !?!

Man kann es nachvollziehen sobald ich "Iobroker stop" eingebe ist das Wlan wieder "ruhig". Wenn ich "iobroker start" eingebe dauert es ca. 3 Minuten und das Wlan ist wieder blockiert.

Nun zur Info.
Ich hatte einen PI3 mit dem habe ich ein Update mit backitup gemacht. Dann habe ich in diesem Pi4 das Image von dieser Homepage genommen (ioBroker Pi2/3/4 Buster 20191127) und dann mit dem Backitup Adapter meine Sicherung eingespielt. Ich musst dann noch 3 Adapter nach installieren, aber sonst läuft alles. Die Adapter sind auf grün und im Log habe ich keinen Fehler.

Was ich noch probiert habe:
Ich habe jeden Adapter pausiert um zu kontrollieren ob die Wlan Störung behoben wird. Hat leider nichts gebracht. Alle Adapter auf rot (pausiert) und dennoch die Störung. Am Ende habe ich dann noch den Admin Adapter über die Console deaktiviert, auch das brachte keinen Erfolg. Erst der Befehl iobroker stop zeigte seine Wirkung.

Ich bin gerade beim deaktivieren vom Wlan auf meinem Pi4. Aber ob das die Lösung ist? Das muss ja einen Grund haben dass der Iobroker wie ein wilder Wlan Pakete sendet.

edit: Jetzt habe ich das LAN Kabel im Betrieb abgezogen und dann waren die Störungen weg !?
Also kommen die WLAN Störungen nicht über das Wlan beim Pi sondern über die LAN Leitung.

Hat einer von Euch eine Idee was das sein kann?

Gruß

JohGre

Ich hatte mal ähnliches, bei mir war’s dann arp-scan, hat letztendlich das gesamte Netzwerk lahm gelegt. Herausgefunden hab ich’s mit top auf der console

Johann001

@JohGre okay, bei Top sehe ich auch diesen "arp-scan" fast ganz oben nur iobroker braucht noch mehr.

Was macht dieser arp-scan und wie kann ich diesen deaktivieren?

Adnim

@Johann001
ip adresssen scannen,teil vom radar adapter ?

Homoran

@Johann001 sagte in Iobroker macht "DDOS-Attaken" auf mein Wlan - Überlastet:

Was macht dieser arp-scan

Der macht einen Netzwerk-Portscan um Geräte zu finden.
der Braucht nicht viel Ressourcen, legt dann aber dein Netz und ggf. deine Rechner lahm.
Da der Besitzer ioBroker ist muss es ja von ioBroker gestartet werden

Johann001

@Adnim said in Iobroker macht "DDOS-Attaken" auf mein Wlan - Überlastet:

@Johann001
ip adresssen scannen,teil vom radar adapter ?

Den Radar2 hatte ich auch schon in Verdacht aber den habe ich deaktiviert und hat keine Änderung gebracht oder muss ich den deinstallieren?

Radar2 deinstalliert aber keine Verbesserung

Johann001

@Homoran said in Iobroker macht "DDOS-Attaken" auf mein Wlan - Überlastet:

@Johann001 sagte in Iobroker macht "DDOS-Attaken" auf mein Wlan - Überlastet:

Was macht dieser arp-scan

Der macht einen Netzwerk-Portscan um Geräte zu finden.
der Braucht nicht viel Ressourcen, legt dann aber dein Netz und ggf. deine Rechner lahm.
Da der Besitzer ioBroker ist muss es ja von ioBroker gestartet werden

Wie kann man den Dienst stoppen?

Homoran

@Johann001 sagte in Iobroker macht "DDOS-Attaken" auf mein Wlan - Überlastet:

Wie kann man den Dienst stoppen?

der wird anscheinend immer wieder gestartet .
Anscheinend dann wohl im Sekundentakt

ein Scan dauert nur <5-10sec

JohGre

war bei mir auch so, hab dann arp-scan einfach deinstalliert und Ruhe war

Homoran

@JohGre
Aber irgendwas muss den arp-scan doch starten!

JohGre

@Homoran sagte in Iobroker macht "DDOS-Attaken" auf mein Wlan - Überlastet:

Aber irgendwas muss den arp-scan doch starten!

Bei mir wars der alte Radar Adapter. Da ich aber den weiter nutzen wollte hab ich eben arp-scan deinstalliert. Anfangs wars auch beim radar2 so, hab dann aber die Hardware getauscht und da gings dann auch mitr arp-scan. Aber wenn ich mir bei dir den Screen anschaue verursacht er ja auch keine Last. Bei mir hing der tatsächlich bei ~120% CPU-Nutzung, aber auch erst nach ein paar Minuten. Lass top einfach mal etwa mitlaufen, ob die cpu last steigt

Johann001

Danke an alle hier.

Ich habe nun auch den arp-scan deinstalliert mit: sudo apt-get remove --purge arp-scan
Nun ist Ruhe im Karton

moses123

Hallo,

die "Stürme" im Netz hatte ich auch,
beim Radar2 braucht man nicht den arp-scan direkt zu entfernen, es reicht folgender Befehl:

sudo setcap cap_net_admin,cap_net_raw,cap_net_bind_service=-eip $(eval readlink -f `which arp-scan`)

Man beachte das "-". Dadurch kann der radar2 nicht auf den arp-scan zugreifen.
Beim einrichten des Adapters muss ja laut Github das gegenteil (mit +) durchgeführt werden.

Im Log taucht dann so was wie arp-scan(false) oder so auf.+

Gruß,
moses123