Hallo zusammen!
Ich habe mir, um etwas sicherer im Netz zu surfen, einen Firewall Router (mit integrierten Modem) von Netgear gekauft.
Soweit funktioniert auch alles einwandfrei!
Ich bekomme im Protokoll des Routers nur ständig solche Meldungen:
Sat, 2006-12-16 22:11:23 - UDP Packet - Source:221.238.129.241,50660 Destination:xxxxxxxxxxxx,19365 - [DOS]
Sat, 2006-12-16 22:11:42 - UDP Packet - Source:89.102.153.209,50351 Destination:xxxxxxxxxxxx,19365 - [DOS]
Sat, 2006-12-16 22:11:43 - UDP Packet - Source:61.228.196.96,9908 Destination:xxxxxxxxxxxx,19365 - [DOS]
Sat, 2006-12-16 22:11:48 - UDP Packet - Source:74.114.192.55,57000 Destination:xxxxxxxxxxxx,25117 - [DOS]
Sat, 2006-12-16 22:12:10 - UDP Packet - Source:84.172.151.112,42463 Destination:xxxxxxxxxxxx,25117 - [DOS]
Sat, 2006-12-16 22:12:18 - UDP Packet - Source:220.139.242.67,24156 Destination:xxxxxxxxxxxx,19365 - [DOS]
Sat, 2006-12-16 22:12:20 - UDP Packet - Source:218.21.90.5,63868 Destination:xxxxxxxxxxxx,19365 - [DOS]
Und diese Meldung geht noch seitenweise so weiter! Ich surfe weder auf dubiosen Internet Seiten noch habe ich irgenwelche Download Programme laufen!!!
Kann mir jemand sagen, ob das irgendwelche DOS-Angriffe sind, oder es in sonst einer Form Grund zur Beunruhigung gibt??? Irgenwie schaut das nicht wirklich „normal“ aus!
VIELEN DANK FÜR EURE HILFE!!!
Moien
Ich bekomme im Protokoll des Routers nur ständig solche
Meldungen:
Das ist normales Hintergrundrauschen. Irgendein P2P Netzwerk glaubt du würdest da mitmachen und versucht es halt mal. Darüber muss man sich aber nicht aufregen.
Wenn du echte „Angriffe“ sehen willst dann stell einen ssh-server ins Netz. Darauf hab ich im Moment 80 Loginversuche von Hackern (OK, Scriptkiddes) pro Tag.
cu
SSH Brute Force Attacken
Hi,
Wenn du echte „Angriffe“ sehen willst dann stell einen
ssh-server ins Netz. Darauf hab ich im Moment 80 Loginversuche
von Hackern (OK, Scriptkiddes) pro Tag.
hat mich auch ewig genervt, bis ich mich mal dazu durchgerungen habe, doch auf einem Server einen Paketfilter zu betreiben. In diesem Fall halt nicht als Sicherheitsfeature, sondern um meine Logfiles von diesem Müll freizuhalten. Bei mir sieht das wie folgt aus (pf/FreeBSD):
# ssh
table persist
block return in log quick from
pass in quick on $outside proto tcp from any to $ip\_base port service\_ssh flags S/SA keep state \
(max 50, source-track rule max-src-nodes 4, max-src-states 5, \
max-src-conn-rate 3/60, overload flush)
Außerdem haben es mittlerweile viele Tools in die Paketverwaltungen der verschiedenen Unixoide geschafft, die sowas ähnliches machen, viele über Paketfilterregeln, andere über hosts.deny.
Die Logfiles werden doch erheblich übersichtlicher…
Gruß,
Malte
Vielen Dank schonmal für Eure Antworten!
Heißt das denn jetzt für mich, dass ich irgendeinen Trojaner oder sowas auf meinem Rechner habe, der versucht andere User auf meinem Rechner einloggen zu lassen? Oder sind das ganz normale Dinge, die jeder Router in seinem Protokoll hat, weil irgendwelche Verrückte Programme nutzen um das Internet zu scannen?
Soll heißen, gibt es Grund zur Beunruhigung?
Was sind das für Paketfilter und Programme von denen Du gesprochen hast? Hast vielleicht mal ein paar Links?
Danke schonmal!
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hi,
Heißt das denn jetzt für mich, dass ich irgendeinen Trojaner
oder sowas auf meinem Rechner habe, der versucht andere User
auf meinem Rechner einloggen zu lassen?
nein, nicht unbedingt.
Oder sind das ganz
normale Dinge, die jeder Router in seinem Protokoll hat, weil
irgendwelche Verrückte Programme nutzen um das Internet zu
scannen?
Aller Wahrscheinlichkeit nach - ja.
Soll heißen, gibt es Grund zur Beunruhigung?
Vermutlich nicht.
Was sind das für Paketfilter und Programme von denen Du
gesprochen hast? Hast vielleicht mal ein paar Links?
Ich hab da von Maßnahmen gesprochen, die man auf Unix-Servern ergreift, um die Logfiles von solchem Mist freizuhalten. Das ist nichts, was Dir direkt hilft. Du kannst solche Meldungen idR getrost ignorieren.
Garantien kann Dir hier aber natürlich keiner geben.
Gruß,
Malte
Heißt das denn jetzt für mich, dass ich irgendeinen Trojaner
oder sowas auf meinem Rechner habe, der versucht andere User
auf meinem Rechner einloggen zu lassen?
Schau dir das Protokoll bezüglich Source und Destination noch mal genau an und überleg dir dann, ob diese Frage auch nur den allergeringsten faktengestützten Hintergrund hat. Dein Router sagt, dass von aussen ein Datenpaket gekommen und abgewiesen ist. Und genau das heisst diese Meldung auch. Alles weitere ist pure Fantasie und Spekulation.
Oder sind das ganz
normale Dinge, die jeder Router in seinem Protokoll hat, weil
irgendwelche Verrückte Programme nutzen um das Internet zu
scannen?
Was das mit irgendwelchen Verrückten zu tun haben soll, erschliesst sich mir nicht, aber ja, das ist das ganz normale Grundrauschen im Internet.
Gruss
Schorsch
Also es ist ein offenes Geheimnis, dass ich mich mit der ganzen Materie (Internetprotokolle usw.) noch nicht wirklich allzu gut auskenne.
Aber ich denke mittlerweile, es gibt nur 2 Möglichkeiten mit eigenen Sicherheitsbedenken im Internet umzugehen. Entweder, mann beschäftigt sich mal ganz ausführlich mit dieser Materie und weiß dann genau was da eigentlich vor sich geht. Oder man ignoriert das Ganze und betet, dass alles gut geht.
Denn je mehr ich mich jetzt von Zeit zu Zeit mit dem Protokollen von Zugriffen auf meinen Rechner beschäftigt habe, desto unwohler wird mir. Aber so wirklich richtig ist mir immer noch nicht klar was das für Zugriffe sind. So z.B. ob diese Dinge dann „gefährlicher“ wären, wenn ich keinen Firewall Router hätte sondern nur mit einem Modem und ohne Software Firewall ins Internet gehen würde.
Alles in allem erstmal vielen Dank für Eure Antworten. Denke ich werde mir etwas literarisches Grundwerk besorgen und mich so der Materie annähern.
Wäre für Empfehlungen dankbar…
Gruß Janik
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Also, solange diese DOS „Verbindungen“ nur im Protokoll stehen, denke ich, dass ich damit leben kann (muss).
Dummerweise scheint sich allerdings der Router alle paar Tage, vermutlich aufgrund dieser erhöhten Verbindungsversuche, aufzuhängen. Soll heißen, dass Symbol für die DSL Verbindung leuchtet nicht mehr und geht erst wieder an, wenn ich den Netzstecker ziehe.
Hat jemand diesbezüglich vielleicht einen Ratschlag?
Hi Janik,
meist lässt sich auch ein Router per Skript rebooten. Insofern könnte man ein automatischen Mechanismus einbauen, der Deinen Router automatisch rebootet. Gruss Johannes
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]