Wie sind diese Router-Logs zu interpretieren? Smurf, TCP FIN Scan, UDP Loop

[LastGen]

Hallo,

vor kurzem hat sich mein Bitdefender gemeldet und vor einem Portscan gewarnt.


Muss ich mir Sorgen machen und was bewirken diese Loops und Scans? An welche Daten versucht man da zu kommen? Habe gelesen, dass es durchaus normal ist, aber so ganz normal scheint es mir nicht zu sein. An meinem PC konnte ich ansonsten nichts auffälliges finden. Das einzige, was hin und wieder gefunden wird, sind txt-files im AppData/Roaming/Microsoft/Windows/Cookies/-Verzeichnis - meines Wissens nach "nur" tracking Cookies.

Ich wäre sehr dankbar, wenn sich das jemand mal anschauen würde. Vielen Dank.

 

[iDont_Know]

erkäre doch mal was dir komisch vorkommt. welche Scanns, welche Loops ?

btw:
https://www.computerbase.de/forum/threads/was-ist-tcp-fin-scan.1077061/
und
https://www.google.de/search?q=*UDP...ws_rd=cr&ei=Fjb8VMniOuTXywPJt4HQBg#q=UDP+Loop

 

[LastGen]

Um ehrlich zu sein bin ich mit einigen der dortigen Beiträge überfordert. Ich verstehe zwar, dass die TCP Verbindung an sich ganz normal ist, aber es wird auch gesagt, dass Hacker diese Verbindung nutzen, um nach Schwachstellen zu suchen. Ich habe die Befürchtung, dass jemand entweder Zugriff auf meinen Rechner haben möchte oder sogar schon hat.

 

[iDont_Know]

die Sache ist die, jeder kann deine IP just for fun nach offen ports scannen
http://nmap.org/zenmap/

224.0.0.1 The All Hosts multicast group addresses all hosts on the same network segment. - lokale IP
169.254.x.x - lokale IP ( wenn dein PC keien DHCP Server findet, und sich eine IP selber gibt)



wobei port 19 komisch ist:

http://www.speedguide.net/port.php?port=19
https://www.rfc-editor.org/rfc/rfc864.txt
https://isc.sans.edu/diary/A+Chargen-based+DDoS?+Chargen+is+still+a+thing?/15647

TCP Based Character Generator Service

One character generator service is defined as a connection based
application on TCP. A server listens for TCP connections on TCP port
19. Once a connection is established a stream of data is sent out
the connection (and any data received is thrown away). This
continues until the calling user terminates the connection.

It is fairly likely that users of this service will abruptly decide
that they have had enough and abort the TCP connection, instead of
carefully closing it. The service should be prepared for either the
carfull close or the rude abort.

The data flow over the connection is limited by the normal TCP flow
control mechanisms, so there is no concern about the service sending
data faster than the user can process it.

UDP Based Character Generator Service

Another character generator service is defined as a datagram based
application on UDP. A server listens for UDP datagrams on UDP port
19. When a datagram is received, an answering datagram is sent
containing a random number (between 0 and 512) of characters (the
data in the received datagram is ignored).

There is no history or state information associated with the UDP
version of this service, so there is no continuity of data from one
answering datagram to another.

The service only send one datagram in response to each received
datagram, so there is no concern about the service sending data
faster than the user can process it.





---------------------


Smurf attack
From Wikipedia, the free encyclopedia

The Smurf Attack is a distributed denial-of-service attack in which large numbers of Internet Control Message Protocol (ICMP) packets with the intended victim's spoofed source IP are broadcast to a computer network using an IP Broadcast address. Most devices on a network will, by default, respond to this by sending a reply to the source IP address. If the number of machines on the network that receive and respond to these packets is very large, the victim's computer will be flooded with traffic. This can slow down the victim's computer to the point where it becomes impossible to work on.

solange dass nicht sehr sehr oft auftaucht, kann eingetlich nichts passieren.















ich würde mir keine Sorgen machen
_------------



Könntest du deine IP nach offen Ports Scannen ?

 

[LastGen]

Danke. Habe die vorigen Logs gelöscht, weil ich mir nicht sicher war, ob nicht noch private Informationen enthalten waren.

Wenn ich über nmap 192.168.2.* gehe, kriege ich für meinen Speedport folgenden Status:
PORT STATE SERVICE

80/tcp open http

443/tcp open https

-------------------------------

Mein Rechner wird auch gefunden:
PORT STATE SERVICE

80/tcp open http

443/tcp open https

-------------------------------

Ist das so in Ordnung? Warum werden bei dem einen Scan viele offene Ports gemeldet und bei dem anderen nicht?

 

[iDont_Know]

nene, was lokal offne ist, ist egal. Ich meinte die public IP

 

[LastGen]

Da bekomme ich nur "Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn"

Das mit -pn verstehe ich nicht, zumindest funktioniert es nicht, wenn ich es als "nmap -PN *Meine IP*" ausführe.

-------------------------

Wenn mein Rechner aus ist, bleiben zumindest die Smurf-"Attacken" weg. Schalte ich ihn an, geht's sofort los, im 5 Minuten Takt und auf die Sekunde genau. Es werden auch immer nur W700V/W720V/Easybox Router mit den Smurfs und Scans in Verbindung gebracht - kann das daran liegen?
Hängen diese Smurfs evtl. auch damit zusammen, dass die Verbindung nicht stabil ist? Ständig werden ACKs an meinen Rechner gesendet, wie auch hier.

 

[chrigu]

teste mal die "offenen" ports von aussen... z.b. auf dieser website http://www.heise.de/security/dienste/Netzwerkcheck-2114.html

 

[LastGen]

Du meinst unter Port-Scans/Standard-Ports?

Spoiler

Port Name Status Erläuterung
7 echo gefiltert Unix echo (inetd)
9 discard gefiltert Unix discard (inetd)
21 ftp gefiltert FTP-Server
22 ssh gefiltert Secure Shell (SSH)
23 telnet gefiltert Telnet-Server
25 smtp gefiltert Mail-Server (SMTP)
53 domain gefiltert DNS
69 nicht reserviert gefiltert Trivial FTP
79 finger gefiltert Unix finger
80 http gefiltert Web-Server
110 pop3 gefiltert Mail-Server (POP3)
111 sunrpc gefiltert RPC Portmapper
113 auth gefiltert identd (Auth)
119 nntp gefiltert News-Server (NNTP)
123 ntp gefiltert Zeit-Server (NTP)
135 loc-srv gefiltert MS-RPC
137 netbios-ns gefiltert NetBIOS Name Service
138 netbios-dgm gefiltert NetBIOS Datagram Service
139 netbios-ssn gefiltert NetBIOS Session Service
143 imap2 gefiltert Mail-Server (IMAP)
161 snmp gefiltert Kein Standard-Port.
443 https gefiltert Web Server (HTTPS)
445 microsoft-ds gefiltert SMB over TCP
515 printer gefiltert Druck-Server (LPD)
631 ipp gefiltert Druck-Server (IPP/Cups)
993 imaps gefiltert Mail-Server (IMAP over SSL)
1214 kazaa gefiltert Kazaa Standard-Port
1433 ms-sql-s gefiltert MS SQL Server
1701 l2f gefiltert VPN-Server (L2TP)
1723 nicht reserviert gefiltert VPN-Server (PPTP)
1900 nicht reserviert gefiltert Universal PnP
3128 nicht reserviert gefiltert Squid Proxy
3306 mysql gefiltert MySQL
3389 nicht reserviert gefiltert MS Terminal Services
4333 nicht reserviert gefiltert MSQL
4662 nicht reserviert gefiltert Standard-Port eDonkey
5000 nicht reserviert gefiltert Universal PnP
5432 postgresql gefiltert Postgres SQL
5800 nicht reserviert gefiltert VNC via HTTP
5900 nicht reserviert gefiltert VNC
6000 x11 gefiltert X Window System (X11)
6667 ircd gefiltert IRC Server
6881 nicht reserviert gefiltert Bittorrent Standard-Port
7170 nicht reserviert gefiltert bei manchen Systemen Fernkonfiguration
8080 http-alt gefiltert HTTP Proxy
10000 webmin gefiltert Webmin
32764 nicht reserviert gefiltert Backdoor in div. Routern

Keine roten Markierungen, aber die Zusatzmeldung: Ihr System antwortet nicht auf ICMP-Pakete.

Habe auch mal die Firewall des Routers deaktiviert und den Test wiederholt, um zu schauen, wie die Meldung des Portscans vor einiger Zeit überhaupt zu meinem Rechner vordringen konnte. Dabei wurde angezeigt, dass der 443 https Port offen ist - wäre da was angreifbar gewesen(wenn jemand z.B. die Firewall des Routers umgeht)?

 

[chrigu]

wenn nichts rot ist, suche mal auf der website des router-herstellers nach firmware-sicherheits-update.

 

[LastGen]

Da gibt es leider keine Updates mehr, der W700V ist ziemlich alt. Werde ich gleich morgen gegen eine neuere Fritzbox tauschen.

Angenommen jemand hätte einen offenen Port 443 entdeckt, was hätte er damit machen können? Habe gelesen, dass dieser eigentlich für Server gedacht ist, aber ich habe keinen Server und auch keine Fernwartungsfunktion für den Router. Hätte die Windows bzw. BitDefender Firewall noch Schutz bieten können?

Danke dir.

 

[SEL33]

Hat sich erledigt.

 

[chrigu]

port 443 ist der "sicher verschlüsselt übertragen" "kanal"... also alles was mit einer "verschlüsselung" im browser/anwendung zu tun hat.

wenn der nicht offen ist, bekommst du keine "https:" websiten zu gesicht.

 

[SEL33]

vor kurzem hat sich mein Bitdefender gemeldet und vor einem Portscan gewarnt.

Das sind so typische obskure Meldungen von Drittanbieter-FW um den Nutzer nur zu verwirren.

Die Ports 0-1023 sind System-Ports die nur für Dienste reserviert sind.

https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

 

[LastGen]

So ganz unschuldig können Sie ja nicht sein. Heute habe ich wieder 3 UDP Loops gehabt.

10.03.2015 19:45:58 **UDP Loop** 198.12.68.138, 58733->> *MEINEIP*, 19 (von PPPoE1 - Eingang)
10.03.2015 19:39:57 **UDP Loop** 198.12.68.146, 57509->> *MEINEIP*, 19 (von PPPoE1 - Eingang)
10.03.2015 18:34:45 **UDP Loop** 192.3.34.26, 32768->> *MEINEIP*, 19 (von PPPoE1 - Eingang)

Die IPs sind auch hier in einer Blacklist aufgeführt:
http://www.tcpiputils.com/browse/ip-address/198.12.68.138
http://www.tcpiputils.com/browse/ip-address/198.12.68.146
http://www.tcpiputils.com/browse/ip-address/192.3.34.26

Die gehen aber offenbar nur bis zu meinem Router, nicht an eines der Endgeräte. Wie kann es dazu kommen?

 

[iDont_Know]

Weil Geräte von ausßerhalb nicht einfach so das machen dürfen, dass geht ( sollte gehen ) wenn:

-Antwort auf deine Anfrage kommt -----Stateful Inspection
-Du Port Forwarding machst , also alles was auf deine Public IP auf den Port x geht, wird auf Gerät Y weitergeleitet

( habe ich etwas vergessen ? )

und das mit Port 19 ist ein DDOS Angriff, wo die IPs (zB 192.3.34.26) nicht echt sind, sondern mann will das die ihn ddost



schalte mal unter windows Features " Einfache TCPIP Deinste an" und telnet Dienst

dann mache telnet IP_Von_dem Rechter 19
telnet 192.168.178.100 19
https://technet.microsoft.com/en-us/library/cc740058(v=ws.10).aspx

dieser Dienst ( chargen tcp ,udp 19) erzeugt einfach Daten



Character Generator (CHARGEN)
Sends data made up of the set of 95 printable ASCII characters. Useful as a debugging tool for testing or troubleshooting line printers.
RFC 864

 

[LastGen]

Warum wird denn jemand wie ich mit einem DDOS angegangen? Wäre es nicht besser zu versuchen an meine Daten zu kommen? Effektiv scheint dieser Angriff ja auch nicht zu sein.

Und was soll ich nun von all dem halten?

 

[cruse]

was will ich als "hacker" mit deinen daten? viel lustiger ist es doch, wenn du dich aufregst und ratlos dreinblickst.
an "daten" zu kommen ist weitaus aufwendiger und lohnt meistens garnicht.
da lieber auf kollege zufall setzen und trojaner verschicken.
häufig wird einfach wahllos gescannt. man sieht doch eh nur eine nummer ohne jeglichen kontex.

 

[LastGen]

OK, aber ist es denn noch normal, dass man so regelmäßig angegriffen wird? Die IP wird ja regelmäßig neu vergeben, wenn man z.B. einen reconnect macht. Trotzdem habe ich noch UDP Loops, wenn auch nur einzelne.

 

[iDont_Know]

Die IP Range / Subnet bleibt aber gleich.
Und die wird wahrscheinlich gescannt.