Was ist "TCP FIN Scan"

powerschwabe · 24. Juni 2012

Was bedeutet TCP FIN Scan im Ereignislogbuch meines Routers Vodafone Easybox 803?

Meldung erscheint seitdem ich mit dem 2ten PC im Netzwerk per WLAN angemeldet bin.

06/24/2012 12:54:54 **TCP FIN Scan** 192.168.2.102, 58707->> 88.208.52.111, 80 (from ATM1 Outbound)
06/24/2012 12:54:53 **TCP FIN Scan** 192.168.2.102, 58739->> 88.208.58.171, 80 (from ATM1 Outbound)
06/24/2012 12:54:52 **TCP FIN Scan** 192.168.2.102, 58740->> 88.208.58.87, 80 (from ATM1 Outbound)
06/24/2012 12:54:52 **TCP FIN Scan** 192.168.2.102, 59056->> 88.208.24.45, 80 (from ATM1 Outbound)
06/24/2012 12:54:52 **TCP FIN Scan** 192.168.2.102, 58737->> 88.208.58.86, 80 (from ATM1 Outbound)
06/24/2012 12:54:52 **TCP FIN Scan** 192.168.2.102, 58727->> 88.208.58.85, 80 (from ATM1 Outbound)
06/24/2012 12:49:46 **TCP FIN Scan** 192.168.2.102, 58347->> 88.208.58.102, 80 (from ATM1 Outbound)
06/24/2012 12:49:46 **TCP FIN Scan** 192.168.2.102, 58490->> 88.208.58.87, 80 (from ATM1 Outbound)
06/24/2012 12:49:46 **TCP FIN Scan** 192.168.2.102, 58603->> 88.208.58.104, 80 (from ATM1 Outbound)
06/24/2012 12:49:46 **TCP FIN Scan** 192.168.2.102, 58544->> 88.208.58.112, 80 (from ATM1 Outbound)
06/24/2012 12:49:46 **TCP FIN Scan** 192.168.2.102, 58462->> 88.208.52.111, 80 (from ATM1 Outbound)
06/24/2012 12:49:46 **TCP FIN Scan** 192.168.2.102, 58444->> 88.208.58.85, 80 (from ATM1 Outbound)
06/24/2012 12:49:46 **TCP FIN Scan** 192.168.2.102, 58354->> 88.208.58.86, 80 (from ATM1 Outbound)
06/24/2012 12:49:46 **TCP FIN Scan** 192.168.2.102, 58604->> 88.208.58.84, 80 (from ATM1 Outbound)
06/24/2012 12:49:45 **TCP FIN Scan** 192.168.2.102, 58347->> 88.208.58.102, 80 (from ATM1 Outbound)
06/24/2012 12:49:45 **TCP FIN Scan** 192.168.2.102, 58492->> 88.208.58.87, 80 (from ATM1 Outbound)
06/24/2012 12:49:45 **TCP FIN Scan** 192.168.2.102, 58549->> 88.208.58.85, 80 (from ATM1 Outbound)
06/24/2012 12:49:45 **TCP FIN Scan** 192.168.2.102, 58480->> 88.208.58.84, 80 (from ATM1 Outbound)
06/24/2012 11:58:22 **TCP FIN Scan** 192.168.2.102, 56177->> 88.208.58.85, 80 (from ATM1 Outbound)
06/24/2012 11:50:58 **TCP FIN Scan** 192.168.2.102, 55188->> 88.208.58.104, 80 (from ATM1 Outbound)
06/24/2012 11:50:57 **TCP FIN Scan** 192.168.2.102, 55173->> 88.208.52.111, 80 (from ATM1 Outbound)
06/24/2012 11:50:57 **TCP FIN Scan** 192.168.2.102, 55665->> 88.208.58.102, 80 (from ATM1 Outbound)
06/24/2012 11:50:57 **TCP FIN Scan** 192.168.2.102, 55227->> 88.208.58.85, 80 (from ATM1 Outbound)
06/24/2012 11:50:57 **TCP FIN Scan** 192.168.2.102, 55130->> 88.208.58.101, 80 (from ATM1 Outbound)
06/24/2012 11:50:57 **TCP FIN Scan** 192.168.2.102, 55168->> 88.208.58.87, 80 (from ATM1 Outbound)
06/24/2012 11:50:56 **TCP FIN Scan** 192.168.2.102, 55738->> 8.27.135.126, 80 (from ATM1 Outbound)
06/24/2012 11:50:56 **TCP FIN Scan** 192.168.2.102, 55725->> 199.88.60.70, 80 (from ATM1 Outbound)
06/24/2012 11:50:55 **TCP FIN Scan** 192.168.2.102, 55665->> 88.208.58.102, 80 (from ATM1 Outbound)
06/24/2012 11:50:55 **TCP FIN Scan** 192.168.2.102, 55668->> 88.208.58.87, 80 (from ATM1 Outbound)
06/24/2012 11:50:55 **TCP FIN Scan** 192.168.2.102, 55586->> 88.208.58.101, 80 (from ATM1 Outbound)
06/24/2012 11:50:55 **TCP FIN Scan** 192.168.2.102, 55227->> 88.208.58.85, 80 (from ATM1 Outbound)
06/24/2012 11:46:28 **TCP FIN Scan** 192.168.2.102, 55142->> 88.208.58.112, 80 (from ATM1 Outbound)
06/24/2012 11:46:27 **TCP FIN Scan** 192.168.2.102, 55138->> 88.208.52.112, 80 (from ATM1 Outbound)
06/24/2012 11:46:27 **TCP FIN Scan** 192.168.2.102, 54885->> 88.208.58.1, 80 (from ATM1 Outbound)
06/24/2012 11:46:27 **TCP FIN Scan** 192.168.2.102, 55231->> 88.208.58.102, 80 (from ATM1 Outbound)
06/24/2012 11:46:27 **TCP FIN Scan** 192.168.2.102, 55226->> 88.208.58.86, 80 (from ATM1 Outbound)
06/24/2012 11:46:27 **TCP FIN Scan** 192.168.2.102, 55186->> 88.208.58.101, 80 (from ATM1 Outbound)
06/24/2012 11:46:26 **TCP FIN Scan** 192.168.2.102, 55231->> 88.208.58.102, 80 (from ATM1 Outbound)
06/24/2012 11:46:25 **TCP FIN Scan** 192.168.2.102, 55138->> 88.208.52.112, 80 (from ATM1 Outbound)

iwantnoads · 24. Juni 2012

Das muss erstmal nichts bedenkliches sein.
Kann ein Programm sein das nach Updates sucht oder auch irgendein Programm das ein P2P Netz nutzt. Das kann Torrent sein oder auch irgendein Spiel/Programm oder irgendein anonymisierungstool (usw..) die nutzen ja auch gerne mal p2p Netze.

Um sicher zu gehen würde ich eventuell mal direkt auf dem PC 192.168.2.102 schauen wenn du da ein Firewall Log hast, welches "Programm" den Zugriff versucht.

Hast du irgendein Programm das Firewall Funktionalität hat oder eine bessere Windows Version wo man auch ein Logging anschalten kann?

Enigma · 24. Juni 2012

TCP ist eine Form der Datenübertragung im Internet. Wenn du z.B. eine Webseite aufrufst, stellt dein Rechner eine TCP-Verbindung zum Webserver her. Diese TCP-Verbindung wird nach der Datenübertragung in der Regel wieder geschlossen. Ein Verbindungsaufbau läuft grob wie folgt ab:
1. Computer sendet anfrage zum Verbindungsaufbau an Server
2. Server bestätigt diese Verbindung
3. Dein Computer bestätigt dem Server, dass er die Bestätigung erhalten hat

Das Internet ist prinzipbedingt keine 100% zuverlässige Datenverbindung. Es können immer einzelne Pakete verloren gehen. Damit sichergestellt ist, dass nichts verloren ging ist jeder der einzelnen Schritte erforderlich. TCP kümmert sich praktisch darum, dass aus einzelnen Paketen eine zuverlässige Verbindung zum Server herstellt wird.

Wenn die Daten übertragen sind, schliesst dein Rechner die Verbindung, das ungefähr wie folgt funktioniert:

1. Computer sendet das Signal zum Verbindungsabbau an den Server
2. Server bestätigt dass die Verbindung korrekt geschlossen wurde

Jetzt ist es oft so, dass Hacker nach angreifbaren Dienste im Internet suchen. Für das Suchen der Dienste gibt es verschiedene Vorgehensweisen. Darunter auch ein TCP-FIN-Scan. Der Hacker schickt nun, ohne eine vom Server bestätigt Verbindung zu haben, das Signal für den Verbindungsabbau an den Server. Anhand der Antwort des Servers kann der Hacker erkennen, ob ein Dienst läuft oder nicht. Ein TCP-FIN-Scan hat den Vorteil, dass er in der Regel sehr unauffällig ist und das gescannte System keine Ressourcen dafür freihalten muss.

Dein Router hat eine Funktion die nennt sich Connection-Tracking. Diese benötigt er, um Verbindungen zwischen dem Internet (öffentliche IP-Adresse) und deinem Rechner (private IP-Adresse) weiter zu leiten. Wenn dein Router nun erkennt, dass ein Paket zum Verbindungsabbruch gesendet wird, aber er zuvor keinen Verbindungsaufbau gesehen hat, schließt er daraus, dass jemand Versucht einen TCP-Fin-Scan zu unternehmen. Der im Log angegebene Port 80 ist üblicherweise Webserver. Also jemand Versucht herauszufinden, ob auf deinem Router auf Port 80 ein Webserver läuft. Das ist in der Regel die Vorbereitung, um weitere Angriffe durchzuführen.

Du musst dir aber im klaren sein, dass es jetzt nicht grundsätzlich Illegal ist einen Scan dieser Art durchzuführen. Daher ist dies im Internet leider alltäglich und wird von vielen Hackern ständig gemacht. Generell ist der Scan nicht gefährlich und kannst du eigentlich ignoreren. Gefährlich wird es nur, wenn du einen eigenen Server bei dir betreibst, der über das Internet erreichbar ist (Stichworte: Port-Forwarding, DMZ).

Edit: Ich habe mir die Fehlermeldung gerade noch einmal durchgelesen und etwas übersehen.

Die Richtung des Verbindungsaufbaus geht von einer privaten IP-Adresse (192.168...) ins Internet. D.h. ein interner Rechner versucht herauszufinden, wo Dienste im Internet laufen. Das wiederum machen Rechner nicht zum spass und könnte ein Hinweis drauf sein, dass der Rechner mit der IP 192.168.2.102 einen Virus hat.

Labtec · 24. Juni 2012

Die IP-Adressen gehören zu: http://advancedhosters.com/en/, falls dir das weiterhilft.

Suche

powerschwabe

Banned

iwantnoads

Gast

Enigma

Captain Pro

Labtec

Gast

Ähnliche Themen