udp port scan

#1 heute, so zwischen 12.30h und 14.30h meldete meine Firewall (Kerio) im Sekundentakt UDP datagram Anfragen an die verschiedensten Ports meines Rechners (Ports 1000-5000), die alle von der gleichen IP abstammen. Wie läßt sich herausfinden, ob es sich um einen fiesen Portscan handelt?

Danke.

P.S.: Ich gehe über die Telekom ins Netz. Laut RIPE.DE gehört die IP, von der die UDP-Anfragen kommen, ebenso zur Deutschen Telekom. Ist es möglich, daß die DT heute irgendwelche Tests durchführt, durch die der ununterbrochene Alarm bei mir ausgelöst wird.

#2 Test der DtAG würde ich ausschließen.
Interessant zu erfahren wäre: welche Ports wurden denn angesprochen ?
Das läßt u.U einen Rückschluss zu.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Unter anderem folgende Ports:
1178, 1182, 1194, 1198, 1217, 4159, 4681, 4713, 4887.

Das sind wirklich nur einige wenige, die ich notiert habe.
Und während ich dies schreibe zappelt meine Firewall fröhlich weiter.
Weiterhing komisch erscheint mir:
Gebe ich einen Traceroute-Befehl an die IP aus, sendet diese wiederum ein UDP datagram an mein tracert-Prog zurück (Ports 1193-1205 +/- x). Ebenso beim Ping.
Ist das normal?

#4 Soeben wurde sendete die IP sogar ein UDP datagram an meinen Browser.
Was zur Hölle geht hier vor?

#5 Mhja, also wenn die Anfragen von einem Absender abstammen, dann würde ich schon fast auf einen Portscan tippen. Daß es mal einen UDP-Port trift, auf dem der Browser (handelt sich wohl um den IE !? ) lauscht ist wohl eher ein Zufall.
Für hartnäclige "Kandidaten" kann man sich die Zeit nehmen und sie per Firewall-Regel komplett aussperren. Eigentlich nur eine Maßnahme, damit das Log nicht überläuft, hilft auch nur temporär. Oder: selbst neu einwählen, damit ändert sich sehr warscheinlich auch deine IP.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 erstaml danke für die Antwort.
Mein Browser is Mozilla.
Ich habe mich etliche Male neu eingewählt.
Meist erschien sofort, als eine Verbindung hergestellt war, auch schon die erste Meldung meiner Firewall mit der IP.
Das erscheint mir sehr suspekt. Wie kann jemand so schnell an meine geänderte IP an mich rankommen?
Habe auch schon in meinem Trojanscanner (Trojancheck 6) nachgeschaut, der hat mir jedoch nichts außergewöhnliches zu berichten gehabt.

Naja. Jetzt ist gerade alles ruhig.
Danke nochmal!

#7 Ein reiner Trojanerscanner hilft hier evtl nicht weiter.
Versuche es doch mal mit www.antivir.de (kostenlos).
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 habe ich schon. auch schon gescannt. jedoch ohne erfolg bzw. mit erfolg -> also keine erkennbaren viren.
Auf anraten der telekom, habe ich eine mail an abuse@t-online.de geschickt, bei denen die IP zu Hause ist. Vielleicht ist der Typ ja so selten dämlich und verwendet seine tatsächliche IP... schön wär's.

#9 1.)Schau mal nach welche Prozesse der Taskmanager anzeigt!
2.)Start -> Ausführen -> msconfig <=== Steht da was ausergewöhnliches?
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#10 Nein. Habe nach allen (Un)Auffälligkeiten gesucht und nichts gefunden.
Trotzdem hierzu eine Frage:
Was bedeuten/bewirken die Compatibilityeinträge (32/Mci/95 etc.) in der Win.ini?

Danke

P.S:Unter Sysinternals.com gibt es übrigens ein ganz nettes Tool (234KB), mit dem sich sehr entspannt alle Prozesse und dazugehörige Handler und geladene DLLs überblicken lassen. Eine nette Möglichkeit um sein System ein bißchen besser kennenzulernen