Portscan bei mir???

[Carmageddon]

Hallo liebe Sicherheitsexperten,

in der neuen Firewall von Tiger kann man ja neuerdings das Protokoll einsehen.
Habe ich heute morgen gemacht und siehe da, ununterbrochen kommen Meldungen wie diese:

May 2 20:54:41 Benedikt-Hofmeisters-Computer ipfw: 35000 Deny UDP 192.168.178.50:520 192.168.178.255:520 in via en1
May 2 20:54:55 Benedikt-Hofmeisters-Computer ipfw: Stealth Mode connection attempt to TCP 192.168.178.20:49563 from 209.249.9.94:80

oder

May 3 07:27:58 Benedikt-Hofmeisters-Computer ipfw: 12190 Deny TCP 192.168.178.1:1380 192.168.178.20:5000 in via en1
May 3 07:28:24 Benedikt-Hofmeisters-Computer ipfw: 35000 Deny UDP 192.168.178.50:520 192.168.178.255:520 in via en1

Das wiederholt sich ca. alle 30 Sekunden.

Will da jemand rein? Und was kann ich dagegen tun.

Vielen Dank für Eure Hilfe,

Carma

 

[Difool]

moin,

mein Tipp:
Benedikt-Hofmeisters-Computer hat ein Filesharingprog laufen, welches auf
die dir zugwiesene IP Kontakt hatte und erneut sucht.
Einmal kurz offline und wieder on gehen.

Gruß Difool

 

[admartinator]

mein Tipp:
Benedikt-Hofmeisters-Computer hat ein Filesharingprog laufen, welches auf
die dir zugwiesene IP Kontakt hatte und erneut sucht.
Einmal kurz offline und wieder on gehen.

rotfl

Der war gut...

Auf Filesharing-Kontaktversuche wird es wohl dennoch hinauslaufen. Kein Grund zur Panik.

 

[garraty47]

guck dir mal einbeliebiges log einer beliebigen firewall eines beliebigen direkt mit dem internet verbundenen rechners an(also nicht hinter router oder proxy), und du wirst genau sowas zu sehen bekommen.
ist ganz normal, dass im netz wild hin- und hergescannt und gepingt wird

 

[Carmageddon]

Vielen Dank für Eure schnellen Antworten.

Das mit dem Filesharing stimmt, ich gebs zu und wer macht das nicht? ;-))

Offline und wieder online gehen bringt leider nichts. Die Versuche gehen weiter.
Was mich wundert ist, das ich hinter einem Router mit Firewall sitze und die OSX-Firewall auch aktiv habe. Trotzdem kommt jemand bis an meinen Rechner. Unangenehm.

Also Ihr meint, so ein Ping-Verkehr ist ganz normal? Ich habe ehrlich gesagt noch nie ins Log geschaut, vielleicht fällts mir deswegen jetzt erst auf.

Ich wollte schon mein System neu aufsetzen, aber das würde ja auch nichts bringen. Ich schätze irgendwann hört das von allein wieder auf, wenn die Gegenstelle keine Antwort bekommt, oder?

Kosten die dauernden Abwehrversuche der Firewall eigentlich viel Sytemleistung oder ist das zu vernachlässigen?

Danke,

Carma

 

[admartinator]

Das mit dem Filesharing stimmt, ich gebs zu und wer macht das nicht? ;-))

Ich.

......

 

[ale]

Ich.

......

und nochmal

filesharing an sich ist nichts böses

es kommt nur darauf an, was man tauscht

ich tausche nur freie software etc. und das ist NICHT böse

 

[Carmageddon]

Nochmal hallo zusammen,

sorry admartinator, aber ich wollte keine Grundsatzdiskussion auslösen, sondern nur eine Antwort.

Kann es nicht sogar sein, dass solche Anfragen:

May 3 08:56:21 Benedikt-Hofmeisters-Computer ipfw: 35000 Deny UDP 192.168.10.108:68 255.255.255.255:67 in via en0

vom Router kommen?

Ich habe mich grade ans Netz im Büro gehängt und da kommt diese Anfrage.

Danke,

Carma

 

[tripst0r]

Kosten die dauernden Abwehrversuche der Firewall eigentlich viel Sytemleistung oder ist das zu vernachlässigen?

Bei normalen DSL Leitungen ist die resultierende CPU Last beim Paketfiltern minimal. Ausgiebiges Logging ist ein gutes Zeichen, ich würde mir an deiner Stelle eher Gedanken drum machen wenn in den Logs keine Einträge mehr auftauchen würden

Was mich wundert ist, das ich hinter einem Router mit Firewall sitze und die OSX-Firewall auch aktiv habe. Trotzdem kommt jemand bis an meinen Rechner. Unangenehm.

Der Router ist keine Firewall, er hat nur einen Paketfilter integriert. Eine FW ist kein Stück Hardware, sondern ein Konzept. Sieht wohl so aus als sei der PF im Router falsch oder eher gar nicht von dir konfiguriert worden. Wenn die Regeln richtig definiert wären würde auf deinem Desktop mit Sicherheit kein Grundrauschen aus dem Netz ankommen. Und...zwei PF hintereinander zu schalten ist nicht wirklich sinnvoll.

35000 Deny UDP 192.168.10.108:68 255.255.255.255:67 in via en0

Job, kommt vom Router, ist ein DHCP Broadcast der verworfen wurde.

 

[Carmageddon]

Vielen Dank tripst0r,

dachte ich mir fast.
Wie erkenne ich denn generell DHCP-Broadcasts des Routers? Enthalten diese immer die Router-Adresse und oder die meines Rechners?
Sorry, aber damit habe ich mich noch so gar nicht beschäftigt.

PF kann ich bei meinem Router leider gar nicht einstellen.

Carma

 

[tripst0r]

Huch, stimmt doch gar nicht was ich oben geschrieben habe

DHCP Broadcasts erkennt man am Ziel (255.255.255.255) Sourceport (68) und Destinationport (67).

ipfw: 35000 Deny UDP 192.168.10.108:68 255.255.255.255:67 in via en0

Ein Client (192.168.10.108) aus deinem lokalen Netz versuchte per DHCP seine Netzwerkeinstellungen zu beziehen, dieser Broadcast erreichte auch deinen Rechner, jedoch wurde er von ipfw (Paketfilter von OS X) verworfen. [Der Befehl 'host' oder 'dig' auf die IP des Rechners (192.168.10.108) sollte den FQDN und damit den Namen des Rechner ausspucken (falls ein korrekt konfigurierter DNS Server im Netzwerk vorhanden ist) der seine Einstellungen per DHCP beziehen wollte.]
Also, nicht deinem Router ist dieser Logeintrag zu verdanken, sonden irgendeinen Client im Netzwerk.

 

[Carmageddon]

Danke tripst0r,

das habe ich beinahe verstanden. Aber wie siehts damit aus:

ipfw: 35000 Deny UDP 192.168.178.1:1900 239.255.255.250:1900 in via en1

239.255.255.250 gehört ja nu nicht zu meinem Netzwerk denke ich. Was sagt mir das?

Wenns Dir zuviel wird mit meiner Fragerei brauchst Du nicht mehr zu Antworten. Aber es interessiert mich schon sehr.

Danke,

Carma

 

[Carmageddon]

Nochmals danke an alle.

Soweit ich das jetzt nachvollziehen konnte (Router an und abstöpseln, andere Clients an und abstöpseln) kommt der meiste Verkehr entweder vom Router oder von anderen Clients, so wie tripst0r das erklärt hatte.

Wieder einmal ein wenig mehr Wissen und vor allem großer Nutzen durch macuser.de

Carma

 

[tripst0r]

ipfw: 35000 Deny UDP 192.168.178.1:1900 239.255.255.250:1900 in via en1

Ein Windows Rechner in deinem Netzwerk mit der IP 192.168.178.1 hat über seinen Quellport 1900 einen Multicast (224.0.0.0-239.255.255.255) in dein Netzwerk losgelassen, wahrscheinlich ist der 'Windows Messenger' das Programm welches das Datenpaket erzeugt hat. Mehr Infos gibts dazu in der Microsoft Knowledge Base.

 

[LosDosos]

Hallo,
ich hänge mich mal hier dran.
Ich habe neulich mal in die Konsole geschaut und bin etwas stutzig geworden.
Ich habe mehrere appfirewall.logs, die dann mit der mit der Meldung, dass die Größe >100k ist beendet sind.
In diesen Logs sind zuhauf Einträge aus den letzten Tagen,
die ua folgendes besagen:

..
Jul 10 11:43:00 Macintosh Firewall[40]: Stealth Mode connection attempt to TCP 192.168.1.102:49315 from 81.95.3.152:80
Jul 10 11:43:00 Macintosh Firewall[40]: Stealth Mode connection attempt to TCP 192.168.1.102:49297 from 81.95.3.152:80
Jul 10 11:43:00 Macintosh Firewall[40]: Stealth Mode connection attempt to TCP 192.168.1.102:49298 from 81.95.3.152:80
Jul 10 11:43:24 Macintosh Firewall[40]: Stealth Mode connection attempt to TCP 192.168.1.102:49317 from 62.104.23.124:80
Jul 10 11:44:13 Macintosh Firewall[40]: Stealth Mode connection attempt to TCP 192.168.1.102:49317 from 62.104.23.124:80
..
Jul 13 12:34:32 Macintosh Firewall[41]: Stealth Mode connection attempt to TCP 192.168.0.2:49757 from 195.71.92.67:80
Jul 13 12:43:40 Macintosh Firewall[41]: Stealth Mode connection attempt to UDP 192.168.0.2:64460 from 213.191.74.18:53

Ich sitze hinter einem Router, der die 192.168.0.1 besitzt.
Die Firewall unter Leo 10.5.7 habe ich auf Tarnmodus gesetzt.
Die Firewall-Protokollierung ist von den letzten Tagen so ellenlang,
dass ich langsam den Eindruck bekommen, dass meine Ports täglich gescannt werden, und zwar querbeetein von etwa 30.000 bis 60.000.

Wenn ich im Netzwerkdienstprogramm zb die letzte Meldung mit 213.191.74.18 unter whois einsetze, bekomme ich
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

ReferralServer: whois://whois.ripe.net:43

Die Traceroute gibt mir:

traceroute to 213.191.74.18 (213.191.74.18), 64 hops max, 40 byte packets
1 192.168.0.1 (192.168.0.1) 2.697 ms 0.331 ms 0.296 ms
2 lo1.br04.asham.de.hansenet.net (213.191.84.203) 31.032 ms 29.626 ms 29.995 ms
3 ae1-104.cr02.weham.de.hansenet.net (62.109.119.126) 29.808 ms 29.714 ms 29.910 ms
4 vl107.br01.wfham.de.hansenet.net (62.109.122.50) 29.934 ms 29.663 ms 30.003 ms
5 * * *

Keine der aufgelisteten Adressen ist meine aktuelle vom Provider zugeteilte.

Liege ich da mit meiner Vermutung total daneben
Oder was würdet Ihr mir empfehlen?
Leider kenne ich mich damit nicht wirklich gut aus und bin etwas verunsichert..
Ach ja, mit Filesharing habe ich nix zu tun, wie es in anderen Threads vermutet wurde, daran kann es nicht liegen.

 

[LosDosos]

Ich wollte mich nochmal kurz dranhängen, weil mir das echt Kopfzerbrechen macht.
Vielleicht stell ich auch einfach ne dumme Frage und brauch mir gar keine Sorgen zu machen,
Vielleicht kann mir dann jemand nen Wink mit dem Zaunpfahl geben?

Als heutiges Beispiel, ich hing nicht an einem Router, sondern direkt am Modem.
Die appfirewall.log sagte mir (siehe letzten Eintrag)
"Stealth Mode connection attempt to UDP "meine IP":32703 from 61.15.238.225:4336"
Die Traceroute von 61.15.238.225 geht über Frankfurt, Amsterdam, London, Mumbai, Singapore, Hongkong nach keine Ahnung.
(weitere Ips in der Konsole)
Unterliege ich hier Portscans

Und noch vielmehr?
Was würdet Ihr in so einem Falle tun?
Ich habe in den letzten Monaten viel für und gegen den Stealth Mode der Leo-Firewall gelesen, bin mir nach wie vor nicht sicher, ob ich den ein- oder ausschalten sollte.
Und noch vielmehr:
Selbst im Falle eines Scans, ist das Anlass zur Sorge bzw sollte ich irgendwelche Maßnahmen ergreifen, oder kann man sich doch unter 10.5.7 genügend in Sicherheit wiegen?

Über n Tip wär ich sehr dankbar..

 

[Hausbesetzer]

Unterliege ich hier Portscans

Jeder wird andauernd im Internet Portgescannt... Ich hab serverlogs gesehen, die sind innerhalb von 2 Tagen auf fast 100 MB gewachsen...

Und noch vielmehr?
Was würdet Ihr in so einem Falle tun?

Du kannst nichts dagegen tun, dass ein anderer das Internet so benutzt, wie es gedacht ist und bei Dir elektronisch ankloppft.

Ich habe in den letzten Monaten viel für und gegen den Stealth Mode der Leo-Firewall gelesen, bin mir nach wie vor nicht sicher, ob ich den ein- oder ausschalten sollte.

Dieser "Stealth-Mode" schaltet Dein System in einen, nicht dem offiziellen Standard entsprechenden, Modus. Das verhindert aber KEINE Portscans. Das verhindert bloß, dass Dein Rechner "Ja" antwortet, wenn jemand fragt "Bist Du da?".
Das fragen aber nur seriöse Dienste ab (die dann durch Deinen "Stealth-Mode" nicht mehr korrekt funktionieren können) - jeder billig Portscanner ignoriert diesen Weg und scannt einfach munter drauf los.

Und noch vielmehr:
Selbst im Falle eines Scans, ist das Anlass zur Sorge bzw sollte ich irgendwelche Maßnahmen ergreifen, oder kann man sich doch unter 10.5.7 genügend in Sicherheit wiegen?
Über n Tip wär ich sehr dankbar..

Siehe 1.
10.5.7 hat sicher genug offene Sicherheitslücken die in den einschlägigen Kreisen rumfliegen. Dagegen kann man nichts tun ausser hoffen und Gehirn 1.0 (also keine TAN Listen auf dem PC speichern etc)

 

[LosDosos]

Alles klar, ich wusste nicht, dass das schon Normalität ist.

Natürlich speicher ich keine "sensiblen" Daten wie Passwörter etc auf dem Rechner ab,
trotzdem ist es ein ungutes Gefühl zu befürchten,
ein böser Mensch könnte Kontrolle über mein System erlangen.

In einem Fall hab ich testweise mal zurückgepingt (hätt ich wohl nicht machen sollen).
Nachem ich das Netzwerksdienstprogramm beendet habe,
passierten dann recht merkwürdige Sachen,
Thunderbird liess sich auch Teufel komm raus nicht mehr starten, ("unerwartet beendet").
Dann hat sich Leo komplett verabschiedet, auch nach dem vom Netz nehmen,
auch das Runterfahren ging gar nicht mehr..(nur mit Kaltstart)
Da hab ich wohl einem bösen Menschen einen offenen Port gezeigt
(selber Schuld mit meinem Unwissen..)

 

[SelonScience]

Toent aber garnicht freundlich. Ich hab in den 1990 Jahre auch immer mal wieder gescant aber die bekannten boesen IPs ausgelassen

 

[LosDosos]

Gell, tönt irgendwie schon komisch, oder?
Deshalb mach ich mir da so n bisserl Sorgen.
Vielleicht auch einfach übertrieben oder unnötig.
Sind halt alle möglichen Ports, die jeden Tag scheinbar gescannt werden,
auch wenn keine Programme ausser Safari offen sind (weder Ichat, Thunderbird etc.)
Na ja, ich hab ja immer mein tägliches TM-Backup