Möglichkeit TCP/UDP port scan bzw ICMP Reply aufzudecken ?

Aratosh

Cadet 3rd Year
Registriert
Juli 2011
Beiträge
53
Hallöchen zusammen,
ich bin seit bald 10 Jahren Vodafone Kunde und nutze die Easybox 804 seit mehreren Jahren. Bisher hatte ich damit nie Probleme und war eigentlich immer zufrieden.

Anfang Mai ca. fing mein Internet abundzu an herum zu spinnen. Zu der Zeit war ich Online recht viel aktiv am streamen und zocken, also hab ich einfach mal meine Easybox komplett durchsucht und dann im Ereignis Logbuch lauter TCP/UDP Portscan Angriffe, ICMP Replys und Syn Floods entdeckt.

Ich bin seit 15 Jahren oder mehr vollkommen raus aus der Materie und habe erst einmal das Netz durchsucht bzw. Kollegen gefragt die sich da etwas besser auskennen, das sollen wohl DDoS Attacken sein ?

Soweit, so gut, ich hab das ganze ein paar Tage beobachtet und dann meinen Rechner komplett formatiert + Smartphone und die Easybox auf Firmware Update überprüft bzw. auf Werkseinstellung zurück gesetzt.

Das ganze hatte natürlich kaum einen Erfolg, ich habe mir dann testweise Norton360 zugelegt weil ich dachte, vielleicht kann das Programm ja irgendetwas aufdecken, was Windows bzw die Easybox oder Avira nicht aufdeckt. Das war auch nicht der Fall.

Also habe ich das Internet nach Lösungen durchforstet und bin auch keine wirklich hilfreichen Antworten gestoßen. wie ich das ganze überprüfen könnte. Also habe ich das ganze einfach ignoriert weil die Firewall die versuche ja eh blockiert, von daher könnte mir das egal sein.

Mein Handy hat seitdem zwar abundzu Wlan aussetzer und ich muss es dann manuell neu verbinden aber das stört mich nun jetzt nicht so unheimlich weiter.

Allerdings frage ich mich, woher diese Attacken kommen ?
Kann es sein dass ich da in irgendeinem größeren Pool sitze ? Weil die Attacken erfolgen heute noch, oder kann das ganze auch von einer Privatperson ausgehen ?

Vodafone kann das ganze natürlich nicht zurück verfolgen, da hatte ich vor 3 Monaten auch angerufen und mich nebenbei informiert.
Mich würde wirklich einmal interessieren woher die Angriffe stammen, allerdings habe ich in dem Security Gebiet keine wirklichen Kenntnisse mehr außer das, was für den Alltagsgebrauch so ausreicht.

Grüße
 
Den ganzen Tanz hättest du dir sparen können. Es gibt genug IPs im Internet, die einfach alle Netze nach offenen Ports abscannen. Das ganze ist normales Internetwetter.
Wenn du keine Portweiterleitungen eingerichtet hast, dann erreichen diese Anfragen auch nicht deine Endgeräte innerhalb deines LAN-Netzes.
 
  • Gefällt mir
Reaktionen: conf_t, KenshiHH, TheCadillacMan und 2 andere
17:55:33 Aug 3182Security ServicesAlertPossible port scan detected95.208.208.250, 49834, X1xxx.xxx.xxx.xxx, 1111 X1udpUDP scanned port list, 53, 11211, 1900, 19, 69

14:38:02 Aug 3182Security ServicesAlertPossible port scan detected159.65.191.102, 45147, X1xxx.xxx.xxx.xxx, 8085, X1tcpTCP scanned port list, 7547, 8080, 8888, 4443, 88
12:37:17 Aug 3183Security ServicesAlertProbable port scan detected5.178.86.77, 46229, X1x.x.x.x, 4153, X1tcpTCP scanned port list, 44550, 55443, 84, 8081, 10801, 10086, 1080, 8118, 808, 4153
12:37:13 Aug 3182Security ServicesAlertPossible port scan detected5.178.86.77, 46229, X1x.x.x.x.x, 10086, X1tcpTCP scanned port list, 44550, 55443, 84, 8081, 10801
12:37:17 Aug 3183Security ServicesAlertProbable port scan detected5.178.86.77, 46229, X1xxx.xx.xx.x.x, 4153, X1tcpTCP scanned port list, 44550, 55443, 84, 8081, 10801, 10086, 1080, 8118, 808, 4153
10:17:41 Aug 3182Security ServicesAlertPossible port scan detected141.98.82.22, 65530, X1xxx.xxx.xx.xx.x, 22222, X1tcpTCP scanned port list, 44444, 33333
kleiner Auszug der letzten 12 Stunden unseres firewall logs (nur port scans). Da is jede menge gesocks
unterwegs.
Die erste IP ist sogar aus dem Vodafone/Unitymedia netz.
 
https://www.grc.com/x/ne.dll?rh1dkyd2

Scanne mal hier deine Ports. Dort siehst Du dann, ob irgendwas offen ist.
File Sharing, Common Ports, All Service Ports - einfach mal alle Tests durchgehen.
 

Anhänge

  • Screenshot_2021-09-01-12-02-33.png
    Screenshot_2021-09-01-12-02-33.png
    245,3 KB · Aufrufe: 196
Atkalta, ich kenne mich wie gesagt absolut nicht mehr aus auf dem Gebiet. Habe mich zuletzt 2002 oder 2003 damit beschäftigt, daher frage ich lieber ganz doof nach. Trotz dessen Danke für deine Aufklärung, das ist auf jeden fall gut zu wissen.

Ich bin leider viel zu lange raus aus der Materie und erinnere mich nur das die Ports die sogenannten "Tore" bzw Filter für Datenpakete sind die Ein - und ausgehen ?

Ich wusste nicht einmal das selbst Unitymedia Anfragen sendet wenn ich das richtig verstehe.

Der komplette Scan zeigt keine Ergebnisse, die anderen Scans habe ich beigefügt.
Wenn ich das richtig sehe, dürfte soweit alles inordnung sein oder ?
 

Anhänge

  • port1.png
    port1.png
    49 KB · Aufrufe: 228
  • port2.png
    port2.png
    49,1 KB · Aufrufe: 221
  • port3.png
    port3.png
    14,7 KB · Aufrufe: 207
  • port4.png
    port4.png
    13,5 KB · Aufrufe: 218
  • port5.png
    port5.png
    12,6 KB · Aufrufe: 212
  • Gefällt mir
Reaktionen: Engaged
Sorry mit dem Link, hatte diesen nach Testdurchlauf kopiert 😬
Hier der Richtige:
https://www.grc.com/
dann bei Services - ShieldsUP

1630512696834.png
 
  • Gefällt mir
Reaktionen: Aratosh und Engaged
Im Internet kann halt nunmal jeder mit jedem kommunizieren.
Das ist ja ueberhaupt das ganze Prinzip dahinter ;)
Heutzutage ist das nicht mehr so offen, weil jeder einen Router zu Hause stehen hat, der zumindest NAT verwendet, so das die Endgeraete im Heimnetz nicht mehr offen erreichbar sind, wenn man es nicht einstellt (oder falsch konfiguriert ;)) Es gibt ja auch genuegend Anschluesse die keine von extern erreichbare IPv4 mehr haben.
Interessanterweise aendert sich das langsam wieder, mit der Verbreitung von IPv6 wird theoretisch wieder jeder Rechner mit jedem anderen sprechen koennen. Die lokalen Router verhindern aber auch das.

Gibt halt leider genug, die staendig und immer darauf aus sind Schwachstellen zu finden. Und der erste Schritt das zu tun ist ein Portscan. Diese passieren vollautomatisch, und suchen nach "offenen Ports" bestimmter Services. Oft wird das als "Grundrauschen" bezeichnet. Es gibt halt immer Portscans, man kann sie nicht vermeiden.
Bekommt der Scanner auf einem bestimmten Port eine Antwort, koennte sich dahinter ein verwundbarer Service verbergen, und der Angreifer schaut vielleicht genauer hin.
Solange dein Router up-to-date ist, und UPNP deaktiviert ist (was bei dir so zu sein scheint) wuerde ich mir nicht so viele sorgen machen und die Logs ignorieren.
 
  • Gefällt mir
Reaktionen: Aratosh
Zurück
Oben