Ich habe festgestellt, dass von meinem PC sehr viele Verbindungen zu Servern im Internet über Port 137 UDP ausgehen. Dahinter verbirgt sich wohl Netbios, das aber eigentlich nur im lokalen Netzwerk genutzt werden sollte. Handelt es sich bei diesem Verhalten um um ein Sicherheitsproblem? Sollte ich UDP 137 in der Firewall blockieren?
UDP 137 (Netbios) ins Internet blocken?
- Ersteller Arragon
- Erstellt am
Ja solltest du
Siehe https://support.microsoft.com/en-us...pecific-firewall-ports-to-prevent-smb-traffic
Siehe https://support.microsoft.com/en-us...pecific-firewall-ports-to-prevent-smb-traffic
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Bist du sicher, dass der Traffic auf UDP 137 nach außen geht? Das ist der Port für die Namensauflösung bei netbios. Wenn da tatsächlich Anfragen von innen nach außen gestellt werden, reicht es nicht unbedingt aus, dies im Router zu blocken. Man sollte unbedingt einen Viren- bzw Malwarescan durchführen!
Wenn der Traffic hingegen "nur" von außen auf die Firewall des Routers trifft, sieht das eher nach einem potentiellen Angriff von außen aus - nicht unbedingt zielgerichtet, sondern Teil eines Wurms/Skripts, der/das einfach eine IP-Range im www durchprobiert.
Wie hast du den Traffic festgestellt? WireShark/tcpdump oder irgendwelche Log-Einträge?
Wenn der Traffic hingegen "nur" von außen auf die Firewall des Routers trifft, sieht das eher nach einem potentiellen Angriff von außen aus - nicht unbedingt zielgerichtet, sondern Teil eines Wurms/Skripts, der/das einfach eine IP-Range im www durchprobiert.
Wie hast du den Traffic festgestellt? WireShark/tcpdump oder irgendwelche Log-Einträge?
Ich hatte auch schon die Vermutung und hatte dann mit Malwarebytes mal gescant und der hatte ein Werbetool gefunden und ein paar unauffälligere Sachen. In der Firewall hab ich jetzt die Ports Richtung Internet geblockt. Eingehend ist NAT aktiv. Nach ein paar Tagen war dann auch nichts mehr im Log. Woher es kam, weiß ich aber immer noch nicht genau.Raijin schrieb:
