Angriff??? Hunderte Zugriffe am Tag.

#0
11.06.2007, 15:38
...neu hier

Beiträge: 3
#1 Hab da mal ne Frage zu der Log-Datei meiner Firewall, und zwar sieht die Datei bei mir so aus. Meine Firewall schimpft sich Netgear FVX 538.

Jun 11 14:05:32 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=212.55.163.25 DST=xxx.xxx.xxx.xxx PROTO=TCP SPT=35529 DPT=5900

Jun 11 14:06:26 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=69.3.40.131 DST= xxx.xxx.xxx.xxx PROTO=TCP SPT=8303 DPT=5900

Jun 11 14:08:54 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=62.128.28.48 DST= xxx.xxx.xxx.xxx PROTO=UDP SPT=137 DPT=137

Jun 11 14:08:54 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=10.10.82.212 DST= xxx.xxx.xxx.xxx PROTO=UDP SPT=137 DPT=137

Jun 11 14:08:55 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=62.128.28.48 DST= xxx.xxx.xxx.xxx PROTO=UDP SPT=137 DPT=137

Jun 11 14:08:55 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=10.10.82.212 DST= xxx.xxx.xxx.xxx PROTO=UDP SPT=137 DPT=137

Jun 11 14:08:57 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=62.128.28.48 DST= xxx.xxx.xxx.xxx PROTO=UDP SPT=137 DPT=137

Jun 11 14:08:57 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=10.10.82.212 DST= xxx.xxx.xxx.xxx PROTO=UDP SPT=137 DPT=137

Jun 11 14:11:32 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=24.83.0.87 DST= xxx.xxx.xxx.xxx PROTO=ICMP TYPE=8 CODE=0
- Last output repeated twice -

Das große Problem sind eigentlich nicht diese Meldungen, sondern es während dieser "Zugriffe" nicht möglich im Internet zu serven, Datentransver bricht komplett zusammen. (Laufende Übertragungen z.b. Download laufen aber weiter)
Wenn ich die Quell-IP Adressen im Internet suche komm ich teilweise auf Internetseiten raus bzw. auf Computern die hinter einer Firewall liegen.
Dieser Beitrag wurde am 11.06.2007 um 17:03 Uhr von ziezerus editiert.
Seitenanfang Seitenende
11.06.2007, 18:59
Member

Beiträge: 291
#2 Also wenn ich mich nicht arg täusch is Port 137 Netbios und Port 5900 VNC. Also Zugiffsversuche sinds wohl. Aber aufgrund der vielen versch. IPs würd ich mal fast auf ne DDoS-Attacke tippen. Und wenn du die Firewall halbwegs ausnützt kann man da wohl ziemlich sicher sein bei bis zu 90 Mbit Datendurchsatz.

Gruß

Markus
Seitenanfang Seitenende
11.06.2007, 22:31
Member

Beiträge: 327
#3 ddos-attacke, was sollte das bei einem Privaten für einen Sinn machen? (macht eh niemals Sinn)

lies mal hier: http://isc.sans.org/top10.html?dshield=21929ffb1318579a8e76d9febd4f91c5

für VNC gibt es ein Exploit, da scannt wohl jemand nach Opfern. 137 ist auch normal. Laß Dich nicht verrückt machen, alles normal.

Wichtig ist natürlich, das Deine Ports zu sind und nicht doch mal ein alter VNC-Server auf Port 5900 läuft. ;)
__________
darknight, die wo anders Heike ist. ;)
Seitenanfang Seitenende
11.06.2007, 22:32
Member

Beiträge: 686
#4 Hallo ziezerus,

das was ich da sehe ist ein ganz normaler Vorgang, sozusagen das Grundrauschen vom Internet.
Ursachen: Versuche bei dir eine Lücke zu finden, z.B. über Port 137, der für die Kommunikation von PCs im internen Netz gebraucht wird.
Urheber: Skript-Kiddies, Hacker, auch Zombie-Rechner (also gekaperte PCs mit Trojaner(n) drauf).
Manchmal kriegst du auch Verbindungsversuche auf anderen Ports, das kann dann ganz verschiedene Ursachen haben, z.B. von Tauschbörsenusern, die ihre Verbindung nicht richtig geschlossen haben. Du kriegst dann deren IP, und dann klopfen die anderen alle an.

Also ein DDOS-Angriff ist das sicher nicht, der spielt sich nämlich in einer anderen Liga ab. Das wären dann pro Sekunde hunderte oder tausende Anfragen mit dem Ziel deinen Router lamzulegen. Die paar Dinger da pro Sekunde bei dir sind ein ganz normaler Vorgang.

Deine Firewall tut ganz normal ihre Arbeit, keine Sorge.

Gruß Reinhart
Seitenanfang Seitenende
12.06.2007, 08:40
...neu hier

Themenstarter

Beiträge: 3
#5 Hallo erstmal und danke für die Antworten.

Also das mit denn Ports 137 und 5900 war von mir vieleicht ein schlecht gewähltes Beispiel aber diese "Zugriffe" ,oder was auch immer das ist, gehen auf alle Ports.
Das es hier gerade die oben genannten Ports berührt wurden ist quasi Zufall.

Jun 12 06:53:16 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=220.133.116.171 DST=xxx.xxx.xxx.xxx PROTO=TCP SPT=10835 DPT=1080
Jun 12 06:53:16 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=220.133.116.171 DST=xxx.xxx.xxx.xxx PROTO=TCP SPT=10835 DPT=8080
Jun 12 06:53:16 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=220.133.116.171 DST=xxx.xxx.xxx.xxx PROTO=TCP SPT=10835 DPT=6588
Jun 12 06:53:16 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=220.133.116.171 DST=xxx.xxx.xxx.xxx PROTO=TCP SPT=10835 DPT=1080
Jun 12 06:53:16 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=220.133.116.171 DST=xxx.xxx.xxx.xxx PROTO=TCP SPT=10835 DPT=8080
Jun 12 06:53:16 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=220.133.116.171 DST=xxx.xxx.xxx.xxx PROTO=TCP SPT=10835 DPT=6588
Jun 12 06:53:16 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=220.133.116.171 DST=xxx.xxx.xxx.xxx PROTO=TCP SPT=10835 DPT=1080
Jun 12 06:53:16 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=220.133.116.171 DST=xxx.xxx.xxx.xxx PROTO=TCP SPT=10835 DPT=8080
Jun 12 06:53:16 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=220.133.116.171 DST=xxx.xxx.xxx.xxx PROTO=TCP SPT=10835 DPT=6588
Jun 12 06:55:24 [FVX538] [kernel] WAN[DROP] IN=WAN OUT=SELF SRC=89.24.90.253 DST=xxx.xxx.xxx.xxx PROTO=TCP SPT=1179 DPT=445
- Last output repeated twice -




Frage: Kann es sein das meine Firewall mit der "Abwehr" etwas überlastet ist? Wie bereits schon geschrieben passiert es sehr häufig das die Datentransfer auf 0 runter geht und etwa zu dieser Zeit gibt es einen dieser obigen Einträge in der Logdatei, ist aber auch nicht immer bei jedem Eintrag.
Seitenanfang Seitenende
12.06.2007, 10:00
Member
Avatar TurnRstereO

Beiträge: 1543
#6

Zitat

ziezerus postete
...
Frage: Kann es sein das meine Firewall mit der "Abwehr" etwas überlastet ist? Wie bereits schon geschrieben passiert es sehr häufig das die Datentransfer auf 0 runter geht und etwa zu dieser Zeit gibt es einen dieser obigen Einträge in der Logdatei, ist aber auch nicht immer bei jedem Eintrag.
Im Prinzip NEIN.
Wie schon von den anderen gesagt, das was sich da vor Deiner Haustür abspielt, ist das "normale" Grundrauschen.
Die Netgear FVX 538 ist ja ne recht gute denke ich, an einen Defekt dieser welcher würde ich mal als letztes denken.

Scheint so, als ob Du ein anderes Problem hast.

TS
Seitenanfang Seitenende
12.06.2007, 10:41
...neu hier

Themenstarter

Beiträge: 3
#7 Na das beruhigt mich dass das normal ist.

Da werd ich jetzt mal meine Netzwerk und Interneteinstellungen von Grundauf überprüfen, vieleicht finde ich das Problem ja.
Seitenanfang Seitenende
12.06.2007, 11:21
Member

Beiträge: 647
#8 Eventuell betreibst du oder jemand anders Filesharing (Emule, Azureus, Bearshare & Co.), WLAN-Router sind dafür sehr anfällig und dann kann es zu Problemen wie du sie beschreibst kommen.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
14.06.2007, 08:56
Member

Beiträge: 291
#9

Zitat

heptamer666 postete
Eventuell betreibst du oder jemand anders Filesharing (Emule, Azureus, Bearshare & Co.), WLAN-Router sind dafür sehr anfällig und dann kann es zu Problemen wie du sie beschreibst kommen.
Des wär natürlich die andere Möglichkeit. Nur ich hab auch ab und portscans und so weiter. Aber soweit, dass die Leitung "verstopft" ist geht's bei mir nicht.
Außerdem bin ich nicht unbedingt von nem Privaten Netzwerk ausgegangen, da man solche Firewall meistens eher in kleinen Unternehmen findet. Allerdings geh ich davon aus, dass ihr recht habt. Weil dafür is es dann doch viel zu wenig. Was mich irritiert hat, sind die Verbindungsabbrüche.

Gruß

Markus
Seitenanfang Seitenende
18.06.2007, 16:16
Member

Beiträge: 647
#10 Fällt mir noch was zu ein: Gibt ein paar Netgear Treiber die fehlerhaft sind, könnte daher sein das der disconnect von deinem PC ausgeht und nicht vom Router. hast du aktuelle Treiber für deine WLAN-Karte auf dem PC installiert?
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
19.06.2007, 00:11
Member

Beiträge: 500
#11 Lese hier nach und überlege, was Du installiert hast:
http://meineipadresse.de/html/ip-ports.php

Felix
__________
Keine Anfragen per E-Mail und PN!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: