Meldung vom Router

Hallo,

Ich habe in den letzen 3 Wochen immer wieder solche Meldungen erhalten. (Siehe unten)
Unteranderem vor 1 Woche am Mittwoch und Donnerstag um 19 Uhr und heute wieder. Kann ich da etwas dagegen machen stört mich wenn im Log 50 solcher Atatacken stehen und interessiert mich auch wie die das machen?

No. Time Source IP Destination IP Note
1|03/28/2010 06:23:53 |92.62.43.77:48970 |89.236.****.****:1075 |ATTACK
ports scan TCP

End of Alert

Was hat das zu bedeuten? Sind das hackerattacken? Wie funktioniert das?

Nette Maschine …
… mit Aufmerksamkeitsdrang.

Tät ich da mal so sagen, ohne das Handbuch des Geräts konsultiert zu haben. Eben eine Info, die andeutet, dass da jemand mal was versuchtet hat, was nicht gelungen ist und von der Maschine abgefangen wurde - aber mit der Nachtricht an dich, dass da was war. Und wenn das nach Tagen öfter kommt weil du z.B. eine Website betreibst oder eine Unternehmung bist, dass du vielleicht einmal dem nachtrecherchierst.

Für privat würde ich mir da keine großen Gedanken machen, außer mal das Gerät neuzustarten (per Webmenü reicht), damit es eine andere IP-Adresse erhält.

Ansosonsten sagt mir das, dass du die Maschine gut eingestellt hast, damit sie überhaupt in der Lage ist dir diese Nachtrichten zu schicken.

Weiter verfolgen. Sonst mach mal einen Rückscan durch die Ports auf die IP-Adresse. Hab ich mal vor ein paar Jahren gemacht. Er gab auf. Na ja, war nur eine Spielerei.

Also ruhig schlafen, außer es kommt mehr. Dann hast du doch was geöffnet, was andere ermuntert es mal bei dir zu versuchten.

Gruß

Stefan

Hallo,
versucht ein Rechner von außerhalb auf deine IP-Adresse zuzugreifen, so meldet deine Firewall diesen Versuch und lehnt ihn ab. Das ist gut so und sollte auch so bleiben. Aber hinter einer solchen „Attacke“ an sich, muss nicht unbedingt eine böse Absicht stecken:
Die IP-Adresse wird dir nämlich in der Regel von deinem Provider automatisch beim Verbindungsstart und während des Betriebs in gewissen zeitlichen Abständen neu zugewiesen un diese Adresse hat vielleicht zuvor die Verbindung zu einem anderen Rechner hergestellt. Je nach Provider erhält man oftmals tagelang die gleiche Adresse, manchmal ändert sie sich aber auch in kürzeren Zeitabständen. Versucht nun beispielsweise ein Fremdrechner über diese IP-Adresse vermeintlich einen Kontakt mit dem Vorbesitzer aufzunehmen, kommt es zu dem von dir beschriebenen Protokolleintrag.
Mit dem Befehlszeilenkommando „ipconfig /release“ gibt man übrigens die aktuelle wieder Adresse frei, mit dem Kommando „ipconfig /renew“ bekommt man anschließend wieder eine Adresse zugeordnet. Aber ob du dadurch eine neue bekommst, die dir hoffentlich weniger Meldungen verursacht, ist nicht garantiert.

Grüße Culles

Hallo Culles,

Mit dem Befehlszeilenkommando „ipconfig /release“ gibt man
übrigens die aktuelle wieder Adresse frei, mit dem Kommando
„ipconfig /renew“ bekommt man anschließend wieder eine Adresse
zugeordnet.

Dann bekommt er aber nur eine neue IP im LAN, sollte er DHCP nutzen und die IP nicht an die MAC gekoppelt sein. Die IP im WAN bleibt davon unberührt.

Gruß

osmodius

Achsoo also ich habe eine dynamische aber meine IP ändert sich nur wenn ich das Modem für mehrere Stunden ausstecke und in sehr seltenen Fällen auch einfach so. Aber diese Meldung erhalte ich seit 3 Wochen ich spreche von diesem Attacken sonst kamen die ja nie. Wie ist dden das möglich ein Rechner auf meine IP zzuugreifen wie muss ich mir das vorstellen?

Ja ich habe meinen Router so eingestellt das ich über Attacken etc per E-Mail sofort benachricht werde und rest wird per Log einfach aufgezeichet.
Zudem werde ich von unseren Antiviren Programmen auch benachricht bei Attacken, Viren sonstigen Fehlern im Programm sofort alarmiert.

Wie meinst du das mit: „Weiter verfolgen. Sonst mach mal einen Rückscan durch die Ports auf die IP-Adresse. Hab ich mal vor ein paar Jahren gemacht. Er gab auf. Na ja, war nur eine Spielerei.“

Wie machen die das eine Verbinung mit meinem Router herzustellen oder wie funktioniert das um solche Meldungen auszulösen?

Ja ich habe meinen Router so eingestellt das ich über Attacken
etc per E-Mail sofort benachricht werde und rest wird per Log
einfach aufgezeichet.
Zudem werde ich von unseren Antiviren Programmen auch
benachricht bei Attacken, Viren sonstigen Fehlern im Programm
sofort alarmiert.

Dann gehe ich doch mal richtig davon aus, dass du vom Antivir nie Meldungen über Attacken „von außen“ erhälst …

Wie machen die das eine Verbinung mit meinem Router
herzustellen oder wie funktioniert das um solche Meldungen
auszulösen?

… weil dein Router solche Verbindungsanfragen einfach ignoriert, sie dir aber meldet. Bei mir gibt es diese Funktion nicht im Router und die früher mal nachgeschaltete Software-Firewall meldet nach Umstieg von Analog-Modem (ohne Firewall-Funktion) auf DSL-Router (mit Firewall) keinerlei Verbindungsanfragen „von draußen“ mehr. Die bleiben alle in der Ignoranz des Routers stecken. OK, Anfragen auf gezielt geöffneten Ports würden durchlaufen, aber landen dann bei der entsprechenden Software, die damit korrekt umgehen kann.

Wie meinst du das mit: „Weiter verfolgen. Sonst mach mal einen
Rückscan durch die Ports auf die IP-Adresse. Hab ich mal vor
ein paar Jahren gemacht. Er gab auf. Na ja, war nur eine
Spielerei.“

Nun ja, wenn es ständig die gleiche IP-Adresse wäre, dann würde ich mir Gedanken machen. Wenn es jeweils andere sind, dann ist das das normale Hintergrundrauschen des Internets, wie auch im anderen Beitrag beschrieben. Auch dein eigener Provider pingt möglicherweise deine Maschine hin und wieder an um festzustellen, ob da noch wer ist.

Gruß

Stefan

Wie ist dden das möglich ein Rechner
auf meine IP zzuugreifen wie muss ich mir das vorstellen?

Das ist nicht „deine IP“, das ist eine IP-Adresse, die deinem Anschluss temporär zugewiesen ist. Wenn du wer-weiss-was aufrufst, baut dein Rechner eine Verbindung zur IP-Adresse 213.238.59.242 auf. Du kannst den Rechner aber auch anweisen, eine Verbindung zu einer beliebigen anderen Adresse aufzubauen.

Wenn dann hinter dieser anderen Adresse kein Server steckt, sondern genau so ein Anwender wie du, wird dessen Firewall diesem Anwender großspurig mitteilen, sie habe gerade eine ‚Attacke abgewehrt‘.

Nun ist es eher unwahrscheinlich, dass du im Browser einfach mal irgendwelche IP-Adressen eintippst. Aber wenn du z. B. Filesharing betreibst, kommuniziert dein Rechner mit hunderten anderen Rechnern unter hunderten Adressen. Und da die meisten dieser Adressen in einem bestimmten Zyklus anderen Anschlüssen zugewiesen werden, führt dein Computer jeden Tag zigtausende ‚Attacken‘ gegen hunderte verschiedene Rechner aus.

Bzw. wird dein Anschluss eben täglich von hunderten anderen Computern ‚angegriffen‘. Und deine Firewall macht aus diesen Fürzen dann Heissluftballons. Bzw. aus einem vereinzelten Paket auf Port 1075 gleich eine ‚Port scan attack‘.

Und warum das erst seit drei Wochen der Fall ist? Na überleg mal, wann hast du diese ‚Firewall‘ denn aktiviert?

Gruß

Achso und wie aber da es ja mehrere Source IPs waren kann ich davon ausgehen das es ein Angriff war und da es an 3 Tagen passiert ist und das letzere Zeit öfters. Weisst du wie man das machen kann also mit der IP von jemandem anders Verbinden?

Also bei dieser aAttacke habe ich nur vom Router eine Meldung erhalten.

Aber wie kann ich das selbe machen wenn jetzt wirklich eine Attacke dahinter steckt? Also wie kann ich eine Portscan attacke auf ein anderes Momputernetzwerk machen?

Also ich habe immer die Selbe IP adresse dann soll ich mir jetzt sorgen machen?..

mehrere Source IPs

Ein typisches (wenn auch nicht zwingendes) Zeichen für ‚Kein Angriff‘.

und da es an 3 Tagen
passiert ist und das letzere Zeit öfters.

Wäre seltsam, wenn’s anders wäre.

das machen kann also mit der IP von jemandem anders Verbinden?

Sprich mir nach: Niemand hat eine IP. Kein Mensch hat eine IP.

Erstens heisst es IP-Adresse (auch im Schwytzerdütsch), zweitens sind diese Anschlüssen bzw. Geräten zugewiesen. Drittens verbindet man nicht zu Adressen, sondern zu Diensten, die unter bestimmten Adressen angeboten werden. Und das ist überaus einfach: man startet einen entspr. Client und gibt diesem vor, unter welcher IP-Adresse er einen Server anfragen soll. Z. B. indem man einen Browser startet und dort in die Adresszeile eingibt: http://de.wikipedia.org/wiki/Client-Server-Modell

HTH

Hallo,
du brauchst dir keine Sorgen zu machen.
Grüße Culles

Es interessiert mich noch wie man sowas machen kann bzw kannst du mir sagen wie ich mich mich andern IPs verbinden kann wie in dem Fall?

Also auf der IP welche ich eine Part Scan attacke bekommen habe läuft ein Server dieser ist aber ausgeschaltet.

Naja ich habe seither keine Meldungen mehr erhalte somit Problem gelöst.
Danke