firewall log: port scan - normal?

#1 hallo,

ich habe einen D-Link DI-604 DSL-Router laufen. Im Protokoll finde ich alle 30sek. einen versuchten Zugriff, hauptsächlich auf Port 4667:

Code

Montag, 2. Dezember 2002 17:31:47 Unrecognized access from 217.83.83.232:61597 to TCP port 4667
Montag, 2. Dezember 2002 17:31:47 Unrecognized access from 80.129.50.176:1977 to TCP port 4667
Montag, 2. Dezember 2002 17:31:50 Unrecognized access from 64.255.154.6:1028 to UDP [b]port 137[/b]
Montag, 2. Dezember 2002 17:31:52 Unrecognized access from 195.158.146.30:4484 to TCP port 4673
Montag, 2. Dezember 2002 17:31:53 Unrecognized access from 80.129.50.176:1977 to TCP port 4667
Montag, 2. Dezember 2002 17:31:55 Unrecognized access from 195.158.146.30:4484 to TCP port 4673
Montag, 2. Dezember 2002 17:32:01 Unrecognized access from 195.158.146.30:4484 to TCP port 4673
Montag, 2. Dezember 2002 17:32:11 Unrecognized access from 80.128.191.117:3087 to TCP port 4667
Montag, 2. Dezember 2002 17:32:14 Unrecognized access from 80.131.156.206:3219 to TCP port 4667
Montag, 2. Dezember 2002 17:32:14 Unrecognized access from 80.128.191.117:3087 to TCP port 4667
Montag, 2. Dezember 2002 17:32:17 Unrecognized access from 80.131.156.206:3219 to TCP port 4667
Montag, 2. Dezember 2002 17:32:20 Unrecognized access from 80.128.191.117:3087 to TCP port 4667
Montag, 2. Dezember 2002 17:32:21 Unrecognized access from 217.81.200.148:2644 to TCP port 4667
Montag, 2. Dezember 2002 17:32:23 Unrecognized access from 80.131.156.206:3219 to TCP port 4667 

Die IPs weisen nur auf t-dialin hin.

Kann mir jdm. sagen, was es damit auf sich hat?

Danke!!

Grüsse,
marco

#2 Yep !
Du hast bei deiner Einwahl die IP-Adresse eine Users bekommen, der kurz zuvor mit einer Filesahring-Software "unterwegs war".
Die ganzen Clients, die bei ihm Dateien angefragt haben verstehen natürlich nicht, dass Du jetzt die IP hast, geben es aber siche nach ein paar Versuchen auf. die Warteliste kann aber u.U 50 oder mehr anfragende IPs beinhalten.
Wenn es sich einstellen läßt, dann definiere eine Regel mit P2P-Ports, welche dann nicht gelogt werden soll.
Hier eine Auswahl aus meinen "gesammelten Werken"
4661,5482,1214,3584,4662,4668,12895,4665,32000,32004,6662,64764,9305,4992,2938,4666,3652,6346,4663,4661,2576,2727.
Alle Anfragen auf diesen Ports kamen sofort nach einer Einwahl zustande, alle nach dem deselben "Muster" (x-beliebige IPs verschiedenster Provider)
Trotzdem möchte ich darauf hinweisen, es beruht z.T auf Vermutung, wobei die 46xx-Ports wohl dem ziemlich klar dem Donkey-Netzwerk zuzuordnen sind.
Gruss, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 hi josch,

danke für deine antwort. klingt logisch, verwirrt mich aber noch ein wenig. werde das ganze einfach mal beobachten.

gruss,
marco

#4 deine erste vermutung zwecks portscans : da kann ich dich beruhigen
auf solchen ports werden normal keine scans gemacht

selbest 137 ist uninteressant auch wenn es im 1-1024 bereich ist

ich verweise da mal auf folgendes
http://board.protecus.de/t1655.htm

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#5 ich hab das selbste auf port 3750, schon 48 Stunde???!?

#6 Hast du ne Filesharing-Software am laufen?
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#7 HI interesant und danke werde ich abchecken (habe kein filesharing)