IP spoof ?

Hi, ich habe seit Tagen anhaltende Meldungen der Firewall, dass unten stehende Aktion ausgeführt wurde.
Jedoch: Die LAN Adresse ist im Netzwerk nicht bekannt und wird auch per DHCP nicht vergeben da hierfür ein Netzwerkbereich separat vergeben wurde.
Auch die MAC Adresse ist nicht angegeben worden.
Kennt jemand eventuell eine Lösung?

IP spoof detected:
Source:223.1.xxx.xxx,
LAN Destination:192.168.30.25
MAC address: 00.00.00.00.00.00

Hi,

Hi, ich habe seit Tagen anhaltende Meldungen der Firewall,

welche Firewall?

Jedoch: Die LAN Adresse ist im Netzwerk nicht bekannt und wird
auch per DHCP nicht vergeben da hierfür ein Netzwerkbereich
separat vergeben wurde.

Das weiß der Absender ja nicht.

Auch die MAC Adresse ist nicht angegeben worden.

Nicht jeder Internetknoten hat auch eine MAC-Adresse.
MAC-Adressen sind Ethernet-spezifisch.
Ein Modem z.B. kennt sowas nicht.

Kennt jemand eventuell eine Lösung?

IP spoof detected:
Source:223.1.xxx.xxx,
LAN Destination:192.168.30.25
MAC address: 00.00.00.00.00.00

Naja, irgendjemand schickt Pakete mit der Zieladresse an Dich. Ich würde einfach mal die öffentliche IP wechseln, falls möglich. Wenn das dann immer noch auftritt, hat es möglicherweise etwas mit einer Anwendung zu tun, die Du fährst.

Generell eher untragisch. Bei mir würde das unter „Das übliche Internet-Hintergrundrauschen“ laufen => ignorieren.
Meine Firewall (ipfw2) blockt sowas btw. per default.

Gruß,

Malte.

Hallo,

IP spoof detected:
Source:223.1.xxx.xxx,
LAN Destination:192.168.30.25

Kommt das über das private Netz hinein? Das wäre immerhin vorstellbar.

Naja, irgendjemand schickt Pakete mit der Zieladresse an Dich.
Ich würde einfach mal die öffentliche IP wechseln, falls
möglich.

Irgendwie scheint es mir, als wenn diese Pakete aus dem privaten Netz kommen. Und unter Linux würde die Meldung dann irhendwie mit „martian source“ lauten. Aber auf welchem Interface das hineinkommt, wird uns die Firewall ja schon verraten. Oder?

Meine Firewall (ipfw2) blockt sowas btw. per default.

Was genau blockt die?

Gruß,

Sebastian

Hallo,

IP spoof detected:
Source:223.1.xxx.xxx,
LAN Destination:192.168.30.25

Kommt das über das private Netz hinein? Das wäre immerhin
vorstellbar.

Stimmt, die Möglichkeit hatte ich konkret nicht bedacht, geht aber in die Richtung „eine deiner Anwendungen…“

Naja, irgendjemand schickt Pakete mit der Zieladresse an Dich.
Ich würde einfach mal die öffentliche IP wechseln, falls
möglich.

Irgendwie scheint es mir, als wenn diese Pakete aus dem
privaten Netz kommen. Und unter Linux würde die Meldung dann
irhendwie mit „martian source“ lauten. Aber auf welchem
Interface das hineinkommt, wird uns die Firewall ja schon
verraten. Oder?

Sollte sie.

Meine Firewall (ipfw2) blockt sowas btw. per default.

Was genau blockt die?

Sorry, unsauber ausgedrückt: Ich lasse keine Pakete als incoming auf meinem externen Interface zu, die eine private IP-Adresse als Source oder Destination haben.
Krasses Anti-Spoofing Feature.

Gruß,

Malte.

Hallo,

IP spoof detected:
Source:223.1.xxx.xxx,
LAN Destination:192.168.30.25

Kommt das über das private Netz hinein? Das wäre immerhin
vorstellbar.

Nun, ich bin in meinem Netzwerk und entsprechend im Firmennetzwerk nicht eingelogt.
Von daher kann ich mir die Pakete nicht erklären, denn ich bin ja nicht da und habe auch keine Anwendung, die sich versucht dorthin anzumelden.
Geht nicht, da hierfür erst VPN aufgebaut werden muss.
Liegt aber nicht im Autostart und der Dienst auch nicht.

Stimmt, die Möglichkeit hatte ich konkret nicht bedacht, geht
aber in die Richtung „eine deiner Anwendungen…“

Naja, irgendjemand schickt Pakete mit der Zieladresse an Dich.
Ich würde einfach mal die öffentliche IP wechseln, falls
möglich.

Irgendwie scheint es mir, als wenn diese Pakete aus dem
privaten Netz kommen. Und unter Linux würde die Meldung dann
irhendwie mit „martian source“ lauten. Aber auf welchem
Interface das hineinkommt, wird uns die Firewall ja schon
verraten. Oder?

Sollte sie.

Ja eigentlich sollte sie das schon machen, hier kommt aber nicht mehr als ich auch reingeschrieben habe.

Meine Firewall (ipfw2) blockt sowas btw. per default.

Was genau blockt die?

Sorry, unsauber ausgedrückt: Ich lasse keine Pakete als
incoming auf meinem externen Interface zu, die eine private
IP-Adresse als Source oder Destination haben.
Krasses Anti-Spoofing Feature.

Gruß,

Malte.

Danke