Portscan bei mir???

[Hausbesetzer]

Das Internet besteht zu 50% aus Pornosüchtigen und zu 40% aus Kriminellen ^^
Jetzt macht euch mal nicht ins Hemd.

Das ist normales Hintergrundrauschen - selbst Anmeldeversuche kommen bei mir täglich hundertfach vor.

Take it easy. Wenn jemand rein möchte, kommt er rein.

Die einzige Möglichkeit ist, so unauffällig wie möglich zu wirken.

 

[LosDosos]

Das Internet besteht zu 50% aus Pornosüchtigen und zu 40% aus Kriminellen ^^
Jetzt macht euch mal nicht ins Hemd.

Dann gehör ich zu den übrigen 10%

Traceroute gen Hongkong fand ich irgendwie schon merkwürdig, vor allem in dem Zusammenhang mit dem unmittelbaren Absturz.
Sind trotz Backup recht wichtige Arbeiten von mir auf dem Rechner, die ich vor ner offiziellen VÖ nicht unbedingt in fremden Händen sehen würde.

Was meinst Du mit "unauffällig wirken"?

 

[Hausbesetzer]

Was meinst Du mit "unauffällig wirken"?

Nicht dauernd durch die Gegend pingen und tracerouten zb ^^
Meist scannen da riesige Rechnerparks das Internet - und die Leute, die das gebaut haben, sind evtl, doch recht angepisst, wenn Du da jetzt auch zurück rumportscannst.
Du das sind genau die Leute, die dann doch Schaden anrichten können, wenn sie angepisst sind.

 

[win2mac]

Du kannst ja mal bei seriösen Diensten testen welche ports du ins Internet offen hast. Es gibt da jede Menge ANbieter. Vielleicht hast Du ja einiges falsch konfigiriert.

Gruß win2mac

 

[LosDosos]

Nicht dauernd durch die Gegend pingen und tracerouten zb ^^
Meist scannen da riesige Rechnerparks das Internet - und die Leute, die das gebaut haben, sind evtl, doch recht angepisst, wenn Du da jetzt auch zurück rumportscannst.
Du das sind genau die Leute, die dann doch Schaden anrichten können, wenn sie angepisst sind.

Ok, ich hab eigentlich nur 2 Mal zurückgepingt mit dem Netzwerkdienstprogramm um zu gucken ob was ist, was da zu scannen scheint, für etwa 5 Sekunden und dann die Verbindung aber getrennt.
Also wenn die gepisst sind, ich war es zuerst

Du kannst ja mal bei seriösen Diensten testen welche ports du ins Internet offen hast. Es gibt da jede Menge ANbieter. Vielleicht hast Du ja einiges falsch konfigiriert.

Gruß win2mac

Ja, danke ich schau mal.
Im Router hab ich gar kein Portforwarding eingestellt, also nix Offenes zu sehen. Bei dem (für mich eher zweifelhaften) Norton-Onlinetest heisst es, alles wär zu und ich wär unerreichbar.

 

[ginar]

PortScan neu aufgewärmt,

Hallo zusammen,

bin neu im Forum jedoch mit der Materie eigentlich ziemlich vertraut. Bitte entschuldigt, dass ich diesen Thread hier einfach wieder aus der Mottenkiste hole, aber das Thema interessiert mich schon brennend und eine direkte Antwort auf mein Problem habe ich bisher nicht gefunden.

Meine Installation:
[Kabelmodem TM2628] <--> [Router Zyxel P335 Plus] <--> iMac 3GHz Intel Core i3

und noch weitere Geräte hinter dem Router, also den Router zu eliminieren ist keine Option. Es ist nun so, dass ich im Log des IP-Firewall (auf dem Mac) laufend Eintrage finde wie die folgenden:

May 2 18:53:16 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:49202 from 81.92.99.5:53
May 2 18:53:17 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:56217 from 81.92.99.5:53
May 2 18:54:17 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:49461 from 81.92.99.5:53
May 2 18:54:24 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:64596 from 81.92.99.5:53
May 2 18:54:24 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:54133 from 81.92.99.5:53
May 2 18:58:14 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:51640 from 81.92.99.5:53
May 2 19:02:14 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:60337 from 81.92.99.5:53
May 2 19:03:14 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:60647 from 81.92.99.5:53

Mit den IP Adressen weiss ich schon etwas anzufangen, 192.169.0.3 ist mein Mac, 81.92.99.5 der DNS Server meines Providers. Port 53 ist der DNS-Service. Naiv, wie ich bin, habe ich in der zyxel Firewall den Port UDP 53 einmal blockiert, dann hat es sofort aufgehört. Das Problem ist jedoch: ich kann keine Web-Adressen mehr auflösen - auch keine Option; also Blockierung wieder aufgehoben.

Frage: warum überflutet der ISP einen derart mit Stealth connections? Ich wäre dankbar um eine Antwort

Gruss
Gina

 

[magheinz]

Hallo zusammen,

bin neu im Forum jedoch mit der Materie eigentlich ziemlich vertraut. Bitte entschuldigt, dass ich diesen Thread hier einfach wieder aus der Mottenkiste hole, aber das Thema interessiert mich schon brennend und eine direkte Antwort auf mein Problem habe ich bisher nicht gefunden.

Meine Installation:
[Kabelmodem TM2628] <--> [Router Zyxel P335 Plus] <--> iMac 3GHz Intel Core i3

und noch weitere Geräte hinter dem Router, also den Router zu eliminieren ist keine Option. Es ist nun so, dass ich im Log des IP-Firewall (auf dem Mac) laufend Eintrage finde wie die folgenden:

May 2 18:53:16 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:49202 from 81.92.99.5:53
May 2 18:53:17 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:56217 from 81.92.99.5:53
May 2 18:54:17 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:49461 from 81.92.99.5:53
May 2 18:54:24 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:64596 from 81.92.99.5:53
May 2 18:54:24 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:54133 from 81.92.99.5:53
May 2 18:58:14 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:51640 from 81.92.99.5:53
May 2 19:02:14 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:60337 from 81.92.99.5:53
May 2 19:03:14 Ginas-iMac Firewall[58]: Stealth Mode connection attempt to UDP 192.168.0.3:60647 from 81.92.99.5:53

Mit den IP Adressen weiss ich schon etwas anzufangen, 192.169.0.3 ist mein Mac, 81.92.99.5 der DNS Server meines Providers. Port 53 ist der DNS-Service. Naiv, wie ich bin, habe ich in der zyxel Firewall den Port UDP 53 einmal blockiert, dann hat es sofort aufgehört. Das Problem ist jedoch: ich kann keine Web-Adressen mehr auflösen - auch keine Option; also Blockierung wieder aufgehoben.

Frage: warum überflutet der ISP einen derart mit Stealth connections? Ich wäre dankbar um eine Antwort

Das sind halt einfach ein paar DNS-Antworten.
Irgendwelche Hintergrunddienste auf deinem Rechner werden da halt irgendwelche Namen auflösen wollen.

Zu den UDP-Paketen noch:
UDP hat die Eigenheit Verbindungslos zu sein, das heisst das der Paketfilter und vor allem der NAT auf deinem router da mit einer Heuristik rangehen muss. Du fragst einen DNS nach einer domain per UDP und die Antwort ist dieser Frage technisch nicht zuzuordnen. Der router rät halt meistens richtig und stellt die entsprechenden Pakete korrekt zu. Das klappt aber nicht immer und man kann dadurch auch ganz wunderbar Paketfilter aushebeln. Skype z.b. nutzt dieses Technik um durch Firewalls durchzukommen.

Genauso muss der Paketfilter auf deinem Rechner raten. Wenn jetzt z.B. so eine DNS-Antwort etwas länger gedauert hat, dann weiss der Paketfilter einfach nicht ob er das Paket annehmen soll oder nicht und lehnt es ab.

Der steahlt-mode am rechner sorgt jetzt dafür das der router denkt die pakete kommen an und ballert dich dann halt fröhlich weiter zu.

würdest du einfach ein "port-closed" zurücksenden würde der router gar nicht erst weiter versuchen den Port zuzuballern. So aber denkt er das er offen ist und schütten dich mit den Paketen zu.

wer wissen will ob ein port zu oder auf ist der wertet einfach die antwort des letzten router vor deinem rechner mit aus. kommt da kein fehler und keine antwort ist der port stealth, kommt vom router "no route to target" o.s.ä ist der rechner aus und kommt "port closed" ist der port zu. in jedem fall aber bekommt man heraus das da ein port ist. Das einzig sinnvolle wäre den port direkt zu schliessen.

also einfach den dämlichen mode ausschalten und im logfile ist auch wieder ruhe.

 

[ginar]

Hallo Heinz(?)

Danke für Deine fundierte Antwort. Dass der Skype ständig zu pingen versucht, kann sein. Dass ich die Protokolleinträge los werde, indem ich den StealthMode deaktiviere, wusste ich bereits schon. Es ist nur so, ich mag nicht ständig angepingt werden ;^)

Mich hat lediglich gewundert, warum die ganze Chose immer über den DNS Server meines Providers daherkommt. Aber: ich bin sehr zufrieden mit Deiner Antwort und lass es dann wohl so, wie ist.

Gruss
Gina

 

[magheinz]

Danke für Deine fundierte Antwort. Dass der Skype ständig zu pingen versucht, kann sein. Dass ich die Protokolleinträge los werde, indem ich den StealthMode deaktiviere, wusste ich bereits schon. Es ist nur so, ich mag nicht ständig angepingt werden ;^)

aber gerade dann solltest du den steahlt-mode ausschalten.
nur für die überkorrekten: es handelt sich eigentlich um keine ping-pakete, also echo und echoreply.

Gerade durch den steahltmode denkt dein router das du die Pakete annimmst und ballert dich dann auch weiter zu. ist der steahtlmode aus antwortet dein rechner mit port-closed und dein router weiss: "da brauch ich nix mehr hinschicken" und lässt das dann auch.

Mich hat lediglich gewundert, warum die ganze Chose immer über den DNS Server meines Providers daherkommt. Aber: ich bin sehr zufrieden mit Deiner Antwort und lass es dann wohl so, wie ist.

wie du meinst.

 

[ginar]

Danke! Nun ist der Groschen gefallen.

Wie geht das eigentlich mit dem "sich bedanken"? Also, ich tu's natürlich gerne auch im Post, habe aber gesehen, dass es dafür anscheinend einen eigenen Antwortmodus gibt.

 

[magheinz]

Danke! Nun ist der Groschen gefallen.

Wie geht das eigentlich mit dem "sich bedanken"? Also, ich tu's natürlich gerne auch im Post, habe aber gesehen, dass es dafür anscheinend einen eigenen Antwortmodus gibt.

öhm, da haste mich als alten nerd und sozial vollkommen inkompetenten menschen auf dem falschen Fuß erwischt...
Kurz. keine Ahnung

 

[LosDosos]

Den Danke-Button siehst Du erst ab 10 Beiträgen.

 

[ginar]

Achso? da wird man als Neuling also zuerst einmal als unhöflich abgestempelt ;^)

Aber lassen wir das jetzt, schliesslich wollen wir den Post-Counter ja nicht umsonst bemühen. Danke Euch beiden für Eure Erklärungen.

Ende zu diesem Thema und Gruss
Gina