Toggle sidebar

[Intrusion prevention] zeigt merkwürdige/verdächtige Zugriffe, was bedeutet das?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
S

Scylor

Benutzer
Registriert
04. Apr. 2012
Beiträge
407
Reaktionspunkte
1
Punkte
16
Intrusion prevention zeigt bei mir merkwürdige Sachen an. Screenshots hier:


ip1.jpgip2.jpg

Ich hab traceroute laufen lassen und die IPs deuten auf golf.zq1.de (gehört zu hetzner) und freiwuppertal.de. Was genau könnte dahinterstecken? Wieso greifen die auf meinen Synology zu? Welcher Art ist dieser Zugriff, blockiert wurde nämlich bisher niemand. Die Zugriffe selbst scheinen ja durchaus häufig zu sein (hab das Paket erst seit gestern am laufen).
 
Zuletzt bearbeitet:
Im Internet toben sich jede Menge (nicht-) professionelle Leute aus, die sich einen Sport daraus machen, in fremde Systeme einzudringen.
Da wird jeder offene Port inspiziert und wehe, die Tür ist nicht gut verschlossen...
In meinem Netz läuft ein isolierter FTP-Server zur Kundenkommunikation, ohne Internetpublikation und letztendlich nur 10 Personen bekannt.
Trotzdem registriert der Server bis zu 100 Einwahlversuche/Tag und die "black list" hat inzwischen 6-stellig Einträge.

Wegen dieser Erfahrung ist hier alles dicht, bis auf den altbackenen FTP-Server, und selbst der wird systematisch angegriffen.
Ich fürchte, damit muss man leben und die Firewall gut pflegen (oder halt alle Ports wieder schliessen).
 
Danke erstmal. Ich fürchte meine Netzwerkkenntnisse sind nicht so ganz auf dem neuesten Stand, aber was genau zeigt er denn hier an?

Der Synology hängt ganz normal hinter meinem Router, der ca. 5 Ports an ihn weiterleitet. So wie ich das sehe scannen die einfach mal alles was sie im Internet so finden und landen dann irgendwann auf meiner public Ip-Adresse. Aber was passiert jetzt? Wenn sie tatsächlich versuchen würden sich irgendwie einzuloggen dann würde ich das ja unweigerlich sehen (Notification center: Fehlgeschlagener loginversuch, außerdem würden sie ja nach ein Paar Versuchen auch direkt auf der Liste der gebannten IPs landen.

Das ist aber nicht der Fall, also was genau passiert hier, dass Intrusion detection die Sachen trotzdem anzeigt? Um überhaupt beim Synology anzukommen müssen sie ja einen der weitergeleitetet Ports ansprechen, aber wie genau passiert das?
 
*Ich habe keine Ahnung von Intrusion Detection* aber im letzten Screenshot steht doch, dass der Orangene vom TOR-Netzwerk kommt. Da wirst Du nimmer herausfinden, wer das war. Dazu ist TOR da. Auf den anderen Screenshots steht links etwas von 47 Paketen. Ich weiß nicht genau was ein Paket ist, aber wenn damit IP-Pakete gemeint sind, dann hat es keiner intensiv versucht. Egal was sie versucht haben.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten