Frage zu Router Sicherheitslogbuch

Diskutiere Frage zu Router Sicherheitslogbuch im Security / Firewall / Virenabwehr Forum im Bereich Software Forum; Hi, Habe einen T-Sinus 154 DSL Router und da stehen im Sicherheitslogbuch Einträge die ich nich zuordnen kann. 20.08.2006 19:31:18 **IP Zero...
M

ma82rc

Threadstarter
Mitglied seit
20.06.2006
Beiträge
614
Hi,

Habe einen T-Sinus 154 DSL Router und da stehen im Sicherheitslogbuch Einträge die ich nich zuordnen kann.

20.08.2006 19:31:18 **IP Zero Length** 62.26.208.5, 32962->> 170.170.3.0, 7 (von PPPOE - Ausgang)

20.08.2006 19:32:27 **Smurf** 192.168.2.255, 0->> 255.255.255.255, 0 (von LAN - Eingang)

20.08.2006 19:42:22 **UDP Flood to Host** 192.168.2.101, 1335->> 87.248.104.124, 3478 (von PPPOE - Ausgang)

20.08.2006 19:44:50 **IP Zero Length** 207.46.6.26, 32962->> 170.170.3.0, 7 (von PPPOE - Ausgang

Habe auch mal einen SYN Floos to Host drinne gehabt.
Was bedeutet das???

Kann es sein das diese Einträge mit MSN Messenger und Yahoo Messenger sowie ICQ zusammenhängen??? Habe das nämlich gerade mal ausprobiert und hatte wieder solche einträge

die Einträge sehen nach Start von Yahoo und MSN messenger so aus:
20.08.2006 20:04:57 **SYN Flood to Host** 192.168.2.101, 1598->> 217.6.164.162, 80 (von PPPOE - Ausgang)
20.08.2006 20:04:09 **UDP Flood to Host** 192.168.2.101, 1535->> 87.248.104.124, 3478 (von PPPOE - Ausgang)
 
Zuletzt bearbeitet von einem Moderator:
sonnentier

sonnentier

Mitglied seit
01.11.2005
Beiträge
157
Alter
31
Standort
Moskau
Analyse des Protokolls

Was ist die IP von deinem Rechner (in der LAN)?
192.168.1.2.101?

Code:
20.08.2006 19:31:18 **IP Zero Length** 62.26.208.5([color=red][SIZE="1"]FALK ESOLUTION AG[/SIZE][/color]), 32962->> 170.170.3.0([color="red"]?[/color]), 7 (von PPPOE - Ausgang)
Da versucht wurde zu einer IP zu verbinden, die an letzter Stelle eine 0 trägt, kam die Warnung.
170.170.3.0
Ich kann nicht nachvollziehen, wer da wen verbindet.
Es wurde versucht, den Rechner 170.170.3.0 auf dem ECHO port zu kontaktieren, so wie ich das sehe. Ob TCP oder UDP sieht man so ja nicht.
Das ist für Testzwecke, aber kann auch für ein DenialOfService Attack missbraucht werden.
Keine der IPs scheint aber deiner zu entsprechen. Daher verstehe ich nicht, wieso du davon überhaupt erfährst.


Code:
20.08.2006 19:32:27 **Smurf** 192.168.2.255([color="red"]?[/color]), 0->> 255.255.255.255([color="red"]???[/color]), 0 (von LAN - Eingang)
Der Schlumpf ist eine Angriffsmethode, bei der man sehr oft Pingt. Eine Art DoS Attacke.
Ich kann aber nicht richtig nachvollziehen, was da versucht wurde.
192.168.2.255 entspricht zwar deinem Netzwerk, aber nicht deinem Rechner. Der Host der erreicht werden soll, ist noch sinnloser (255.255.255.255).


Code:
20.08.2006 19:42:22 **UDP Flood to Host** 192.168.2.101([color="green"][size="1"]du?[/size][/color]), 1335->> 87.248.104.124([color=red][SIZE="1"]stun1a.voice.ukl.yahoo.com[/SIZE][/color]), 3478 (von PPPOE - Ausgang)
Das halte ich für einen vergeblichen Versuch, ein NAT-Traversal zu erreichen.
Du sendest jedenfalls so viele UDP Pakete an den Yahoo-Voice Server fürs NAT-Traversal, dass der Router beunruhigt ist.
NAT-Traversal ist eine Möglichkeit trotz Router eine bessere Konnektivität zu erreichen (erreicht zu werden).


Code:
20.08.2006 19:44:50 **IP Zero Length** 207.46.6.26([color=red][SIZE="1"]baym-cs234.msgr.hotmail.com[/SIZE][/color]), 32962->> 170.170.3.0, 7 (von PPPOE - Ausgang
Hier versucht der MSN Server anscheinend, auf dem Host 170.170.3.0 ein Echo zu testen.
Die genannte IP erscheint mir aber seltsam, dem Router auch. Ich frage mich, warum sowas überhaupt in deinem Router landet, eine 170.170.3.0 Addresse.
Da diese Meldung fast identisch mit der weiter oben ist, kann man davon ausgehen, dass es sich oben auch um den MSN Messenger Dienst handelte. Auf welche Weise auch immer. Komisch ist aber, dass die obere IP nach Angaben FALK angehört - was doch eine Internet-Werbefirma oder so war?


Habe auch mal einen SYN Floods to Host drinne gehabt.
Was bedeutet das???
Da versuchst du wahrscheinlich sehr oft, einen Server zu kontaktieren. Der antwortet wohl nicht, und du sendest immer mehr Fragen (was nicht standard sein sollte).
Vielleicht versucht aber auch ein Server dich zu verbinden, sehr oft, weiss nicht ob das möglich ist. In welche Richtung es geht ist sowieso schwer zu sagen bei dem Log (für mich), ohne Daten dazu kann man gar nichts sagen ^^


Kann es sein das diese Einträge mit MSN Messenger und Yahoo Messenger sowie ICQ zusammenhängen???
Mit MSN und Yahoo, ja, wie es aussieht. Auch wenn ich nicht verstehe, was da mit MSN passiert. Für ICQ gibt es keine Indizien.

Habe das nämlich gerade mal ausprobiert und hatte wieder solche einträge
die Einträge sehen nach Start von Yahoo und MSN messenger so aus:
Code:
20.08.2006 20:04:57 **SYN Flood to Host** 192.168.2.101([color="green"][size="1"]du?[/size][/color]), 1598->> 217.6.164.162([color=red][SIZE="1"]T-ONLINE INTERNATIONAL AG[/SIZE][/color]), 80 (von PPPOE - Ausgang)
Scheint, du versuchst massenweise einen T-Online Server zu verbinden.
Du versuchst mit der IP, die Telekom zugeordnet ist, aber auf eine DNS Abfrage keinen Namen liefert, eine Verbindung aufzubauen. Diese Versuche werden sehr oft wiederholt. Die Ursache bleibt mir schleierhaft.

Code:
20.08.2006 20:04:09 **UDP Flood to Host** 192.168.2.101([color="green"][size="1"]du?[/size][/color]), 1535->> 87.248.104.124([color=red][SIZE="1"]stun1a.voice.ukl.yahoo.com[/SIZE][/color]), 3478 (von PPPOE - Ausgang)
Mal wieder dieses NAT-Traversal, was mit deinem Router nicht zu gehen scheint, oder sonst unnormal viele UDP Pakete versendet.


MfG Sonnentier
leidenschaftlicher Logauswerter
 
M

ma82rc

Threadstarter
Mitglied seit
20.06.2006
Beiträge
614
also ich muss erstmal danke sagen und wow , woher weißt du das alles
 
Thema:

Frage zu Router Sicherheitslogbuch

Frage zu Router Sicherheitslogbuch - Ähnliche Themen

  • ch habe noch eine Frage und zwar,ich soll im Router W724 V Type A den UPnP ein- oder ausschalten.. W

    ch habe noch eine Frage und zwar,ich soll im Router W724 V Type A den UPnP ein- oder ausschalten.. W: Ich habe noch eine Frage und zwar,ich soll im Router W724 V Type A den UPnP ein- oder ausschalten.. Was ist das? - In das Windows...
  • Frage an Kaspersky Gurus wegen Router und KIS

    Frage an Kaspersky Gurus wegen Router und KIS: Hallo Ich bin immer noch mit einem Teledat 430 Modem unterwegs gewesen und habe die Dienste immer auf einen Einzelplatzrechner eingestellt. Jetzt...
  • Fragen zu einem Selbstbau Router

    Fragen zu einem Selbstbau Router: Hi @all, Ich habe vor mir einen Router selbst zu bauen. Meine Frage ist ob jemand mit dieser Anleitung Erfahrung hat? Kann ich den Router dann...
  • WLAN Frage! 2PC mit eigenden Router verbinden??

    WLAN Frage! 2PC mit eigenden Router verbinden??: Hallo, wollte mal fragen, ob es möglich ist 2PC mit eigenden Router zu Verbinden? Hier mal wie ich es gerne hätte. Meine Nachbar oben hat...
  • Allgemeine Fragen zum Router

    Allgemeine Fragen zum Router: Hallo, da ich ziemlicher Neuling auf dem "Netzwerkgebiet" bin, habe ich einige Fragen um entlich mal Klarheit zu bekommen. Das meite habe ich nur...
  • Ähnliche Themen

    Oben