Hallo Ihr Netzwerk-Profis,
ich sehe gerade in meinem Router-Log massenhaft Einträge der Art:
Unrecognized attempt blocked from 85.180.75.150:6946 to TCP:445
Im Schnitt gibt es für alle 20 Sekunden einen solchen Eintrag. Auffällig daran: Viele from-Adressen sind ähnlich der meinen (beide fangen mit 85.180. an). Was hat das zu bedeuten? Was bedeutet die TCP:-Angabe? Versucht da wirklich jemand, mich zu hacken? Woran konnte der Router dies erkennen? Was muß ich tun?
Vielen Dank für Eure Hilfe und noch ein schönes Wochenende
Hanno
Hallo Hanno, vorneweg nur eine Teilantwort: TCP ist eine von vielen Netzwerkübertragungsprotokollen und die Zahl der ist der Port. Port sind zugenannte Öffnungen in der Firewall, die aufgemacht werden um Verbindungen zu ermöglichen. Jedes Protokoll hat eigentlich seine spezifischen Ports FTP z.B. 20/21. Sie sind in RFC 1800 beschrieben.
der Port 445 ist nicht ganz umunstritten siehe hier http://www.pcwelt.de/start/sicherheit/archiv/114505/. Außerdem gab es schon eine ähnliche Frage in werweisswas siehe /t/staendig-zugriffe-auf-ports-445-135/3276596
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Im Schnitt gibt es für alle 20 Sekunden einen solchen Eintrag.
Auffällig daran: Viele from-Adressen sind ähnlich der meinen
(beide fangen mit 85.180. an). Was hat das zu bedeuten?
Das bedeutet, dass auf Port 445 auf deinem Router irgendein Paket ankam.
Was bedeutet die TCP:-Angabe?
Das bedeutet, dass es sich um TCP-Pakete auf Port 445 handelte. Üblicherweise laufen dort Dienste für Windows-Freigaben.
Versucht da wirklich jemand, mich zu
hacken?
Wohl kaum.
Die zwei häufigsten Gründe, wieso bei dir auf Port 445 Pakete ankommen sind, dass Windows selbst z.B. Broadcast-Pakete an die anderen Rechner in deinem Subnetz schickt, um z.B. Netzwerkfreigaben zu finden. Deswegen stammen auch die meisten dieser Anfragen aus dem gleichen Netzbereich. Ein Großteil der Anfragen stammt somit von den Windows-Rechnern der anderen Kunden deines Providers, die eben grad im selben Subnetz sind wie du.
Der andere häufige Grund ist der Wurm Sasser, der zwar schon 3 Jahre alt ist, aber dennoch eine recht hohe Verbreitung hat, da viele Leute ihre Windows-Updates nicht einspielen. Dieser Wurm sucht auf diesem Port (445) nach nicht-gepatchten Windows-Systemen um eine Sicherheitslücke auszunutzen. Da auf deinem Router aber wohl kaum ein Windows läuft, läuft das ganze ohnehin ins leere.
Woran konnte der Router dies erkennen?
Er sieht nur, dass auf dem Port Pakete ankommen. Dass es sich dabei um Login-Versuche handelt, kann dein Router gar nicht wissen und diese Behauptung dürfte in den meisten Fällen auch schlichtweg falsch sein.
Was muß ich tun?
Nichts.
kommt drauf an, was du machst. 445 ist einer der ports, die windows im netzwerk nutzt. für eine verbindung ins internet (über einen router) sind diese ports unwichtig - können also einfach blockiert werden.
wenn massenhafte verbindungen aus dem internet dort ankommen, handelt es sich zumeist um viren oder ähnliches (sasser hatte sich glaube ich auch über den port verbreitet gehabt). diese ports sind eine beliebte wahl, weil diese ports zumindest in den frühen versionen der microsoft firewalls offen gehalten wurden.´dass dein rechner bewusst durch eine andere person gehackt wird, würde ich grundsätzlich ausschliessen. dafür ist das verhältnis zwischen aufwand und nutzen zu schlecht. hacker konzentrieren sich da eher auf firmenserver und ähnliches.
ach ja, die firewall meldungen sind in dem punkt eher nervig als nützlich. musst dir meistens also keinen kopf drüber machen.
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]