TCP Packet ... [PORT SCAN]

[sowosamma]

Hallo,

ich habe im Zuge meines DS-Kaufes viel über die Einstellungen am NAS und am Router gelesen, da ich gerne den einen oder anderen Dienst auch von aussen nutzen möchte. Deswegen habe ich mich auch mal ein bißchen intensiver mit meinem Router beschäftigt und herausgefunden, dass ich mir das Protokoll und bestimmte Alarme schicken kann. Hab ich natürlich sofort aktiviert und bekomme jetzt seit ca. einer Woche fast täglich folgende Meldung:
TCP Packet - Source:122.227.164.96 Destination:91.12.186.200 - [PORT SCAN]

Ist das normal? Mache mir jetzt schon meine Gedanken, ob ich jetzt überhaupt den ein oder anderen Port aufmachen soll.

/Andi

 

[jahlives]

TCP Packet - Source:122.227.164.96 Destination:91.12.186.200 - [PORT SCAN]

Ist das normal?

Kommt drauf an ob Source deine IP oder die IP des entfernten Systems ist. Ersteres würde heissen, dass dein System den Portscan losgetreten hat und das wäre nicht gut.
Im zweiten Fall ist das aber völlig normal. Portscans habe ich täglich dutzendfach (in letzter Zeit vornehmlich Chinesen resp Taiwanesen)

 

[sowosamma]

ich war die 91.12.186.200 und bin von 122.227.164.96 (China/Ningbo) gescannt worden.

Und was passiert dann? Die scannen mich finden Port X und...?

 

[itari]

ich war die 91.12.186.200 und bin von 122.227.164.96 (China/Ningbo) gescannt worden.

Und was passiert dann? Die scannen mich finden Port X und...?

... und wollen die Weltherrschaft ... naja ein Teil davon: sie wollen deinen PC übernehmen, fernsteuern, für ihre Zwecke nutzen und deswegen hast ja jetzt die Möglichkeiten mit dem Firewall, das zu verhindern. Ansonsten müssen sie einen deiner Benutzernamen finden und natürlich auch das Kennwort, wenn sie in den DS Manager wollen. Das gleiche machen sie aber auch mit deinem PC(s) ... schon immer ... so ist die Welt des Internets ... alle kommen an alles heran ...

Itari

 

[jahlives]

ich war die 91.12.186.200 und bin von 122.227.164.96 (China/Ningbo) gescannt worden.

Und was passiert dann? Die scannen mich finden Port X und...?

Portscans finden immer und dauernd statt und bilden selber eigentlich noch kein Risiko. Damit will die entfernte Seite herausfinden auf welchen IPs welche Dienste (Ports) erreichbar sind. In einem zweiten Schritt würde ein böser Zeitgenosse sich deine IP mal genauer anschauen. Anhand der offenen Ports kann er auf die Dienste schliessen die dahinter laufen. Dann kann er für deine laufenden Dienste Sicherheitslücken ggf ausnutzen. Darum ist es immer schlecht wenn sich eine Serversoftware inkl verwendete Version und womöglich noch Betriebssystem und Version meldet. Das sieht man z.B. oft bei SMTP Servern, die sich z.B. als Postfix Version x.x on Debian Etch melden.
Ich will dir hier aber keine Angst einjagen! Portscans an sich bedeuten nichts Bedrohliches. Erst wenn sich Portscans von immer der gleichen IP Adresse häufen und ggf auch etliche "normale" Zugriffe von dieser IP aus erfolgen solltest du hellhörig werden. In einem solchen Fall würde ich die IP Adresse auf alle Firewall-Blacklists im LAN eintragen (inkl Router und seit FW 09.14 beta auf iptables der Diskstation).

Gruss

tobi

 

[sowosamma]

okay, danke für die Antworten. Ich werde mal beobachten ob es sich immer um die gleiche IP handelt. Und falls ja, diese dann - wie auch immer - am Router sperren.

Gehört zwar nicht unbedingt zum Thema, aber wenn ich Euch Experten schon mal da hab
Ich habe alle paar Minuten folgenden Eintrag im Router. Ist das der Abgleich mit DynDNS? Falls ja, ist das normal daß das alle paar Minuten ist?

Fri, 2009-07-24 18:23:16 - LCP down.
Fri, 2009-07-24 18:23:23 - Initialize LCP.
Fri, 2009-07-24 18:29:09 - LCP is allowed to come up.
Fri, 2009-07-24 18:29:09 - PAP authentication success
Fri, 2009-07-24 18:29:14 - <DDNS>Update OK: good

/Andi

 

[itari]

Es handelt sich um das Link Control Protocol (LCP) zwischen deinem Router und deinen Internet-Service-Provider (ISP). Das Problem solltest du dort mal ansprechen und klären ... Da ja oft das TPC/IP via DSL über Telefonleitungen geht, kann es hier zwischen deinem Router und dem nächsten Anschlusspunkt (DSL POP) manchmal zu seltsamen Situationen kommen ... ich versteh davon rein gar nichts, aber wenn du mal mit diesen Schlüsselworten googlest scheinen sich darüber viele Leute darüber auszulassen

Itari

 

[sowosamma]

ich glaube nach gefühlten 35.841 Seiten habe ich die Lösung - für mich - gefunden => Zeitlimit für Leerlauf = 0

Wobei, so wie Du sagst, gibt es die verschiedensten Gründe und Lösungen für das Problem.

/Andi

 

[power-shopper]

ich war die 91.12.186.200 und bin von 122.227.164.96 (China/Ningbo) gescannt worden.

Hi zusammen,

wie findet Ihr raus, daß die obige IP aus China stammt?

Gruß,
Carsten

 

[Matthieu]

Hi zusammen,

wie findet Ihr raus, daß die obige IP aus China stammt?

Gruß,
Carsten

Einfach mal nach einem "IP tracer" googeln. Gibt unzählige Anbieter.

MfG Matthieu

 

[jahlives]

Hi zusammen,

wie findet Ihr raus, daß die obige IP aus China stammt?

Gruß,
Carsten

122.227.164.96 IP address location & more:
IP address [?]: 122.227.164.96 Copy [Whois] [Reverse IP]
IP country code: CN
IP address country: ip address flag China
IP address state: Zhejiang
IP address city: Ningbo
IP address latitude: 29.8750
IP address longitude: 121.5419
ISP of this IP [?]: CHINANET Zhejiang province network
Organization: CHINANET-ZJ Ningbo node network
Local time in China: 2009-07-25 22:29

http://www.ip-adress.com/ip_tracer/122.227.164.96

Gruss

tobi