Unbekannter Traffic auf der DiskStation

[Mstrobel]

Hallo zusammen,

bei der Suche nach einem Tool um den Traffic auf den der DiskStation aufzuzeichnen bin ich auf tpcdump gestoßen und nutze das nun um auf den freigegeben Ports den Traffic zu verfolgen. Dabei ist mir aufgefallen, dass eine IP aus Taiwan auf meinen meiner Ports im 10 Sekunden-Takt zugreift:

16:51:44.573863 IP (tos 0x0, ttl 255, id 1, offset 0, flags [DF], proto UDP (17), length 176)
myIP.35933 > 118.163.30.162.443: UDP, length 148

Ich habe in der Firewall Taiwan und China auf geblockt gesetzt. Ebenso zusätzlich die o.g. IP Adresse. Das die IP trotzdem zugreifen kann ist für mich sehr verwunderlich. Kennt jemand dieses Phänomen?

Da ich mir nicht sicher bin was da gesendet wird, kennt jemand eine Möglichkeit den Inhalt der dort versendet wird auszulesen?

Danke für die Unterstützung,

MS

 

[dil88]

Könnte es sein, dass das Synology ist, die ja in Taiwan beheimatet sind? Verwendest Du QuickConnect?

 

[Mstrobel]

Ja ich verwende QuickConnect. Was das Phänomen erklärt, obwohl ich mich wundere dass dies aus dem Whois nicht ersichtlich wird:
Details zur IP-Adresse 118.163.30.162
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to '118.160.0.0 - 118.167.255.255'

% Abuse contact for '118.160.0.0 - 118.167.255.255' is 'hostmaster@twnic.net.tw'

inetnum: 118.160.0.0 - 118.167.255.255
netname: HINET-NET
descr: Data Communication Business Group,
descr: Chunghwa Telecom Co.,Ltd.
descr: No.21, Sec.1, Xinyi Rd., Taipei City
descr: 10048, Taiwan
country: TW
admin-c: HN27-AP
tech-c: HN27-AP
mnt-by: MAINT-TW-TWNIC
mnt-irt: IRT-TWNIC-AP
status: ALLOCATED PORTABLE
last-modified: 2013-12-04T12:38:03Z
source: APNIC

% Information related to '118.163.0.0 - 118.163.255.255'

 

[dil88]

Das dürfte der Infrastruktur-Betreiber sein, den Synology nutzt.

 

[Mstrobel]

Ja das stimmt. Danke für die schnelle Hilfe zu dem Punkt was hier der IP steckt.

 

[blurrrr]

Nach Netz-"Betreibern" zu schauen ist sicher eine Möglichkeit (grade wenn kein PTR-Record vorhanden ist), in diesem Fall sieht das aber so aus:

118.163.30.162 -> keepalive.synology.com

 

[Buana]

Ich würde mich gerne hier dranhängen mit einer Frage, leider habe ich nichts gefunden was meine Frage beantwortet.

Bei mir wird laut das System die eine oder andere IP geblockt. Gibt es ein Tool welches auf der DS-112 eingesetzt werden kann, um die IP zurückzuverfolgen?
Bin leider nicht 24h daueronline um darauf zu achten um danach sofort die IP über http://www.geoiptool.com/de/ herrauszufinden woher das kommt!

Hier ist ein Auszug:
Warning System 22.08.2018 18:23 admin Host [92.37.161.113] was blocked via [DSM].
Warning System 05.08.2018 16:54 SYSTEM Host [92.37.142.69] was blocked via [DSM].
Warning System 25.07.2018 07:19 SYSTEM Host [185.189.112.107] was blocked via [DSM].
Warning System 11.07.2018 07:33 SYSTEM Host [185.212.171.14] was blocked via [DSM].
Warning System 29.06.2018 06:36 SYSTEM Host [185.253.97.182] was blocked via [DSM].
Warning System 04.06.2018 20:36 SYSTEM Host [89.249.65.28] was blocked via [DSM].
Warning System 08.05.2018 16:09 SYSTEM Host [185.189.112.90] was blocked via [DSM].
Warning System 25.04.2018 15:41 SYSTEM Host [82.102.24.47] was blocked via [DSM].
Warning System 24.04.2018 22:12 SYSTEM Host [206.189.50.139] was blocked via [DSM].
Warning System 12.04.2018 20:07 SYSTEM Host [95.70.22.126] was blocked via [DSM].
Warning System 03.04.2018 12:09 SYSTEM Host [95.70.26.60] was blocked via [DSM].
Warning System 28.03.2018 13:53 SYSTEM Host [95.70.26.60] was blocked via [DSM].
Warning System 27.03.2018 13:19 SYSTEM Host [95.70.96.178] was blocked via [DSM].
Warning System 20.03.2018 22:12 SYSTEM Host [95.70.72.183] was blocked via [DSM].



Viele Grüße
Buana

 

[Puppetmaster]

Verstehe ich nicht ganz. Du kannst ja auch im Nachgang noch schauen, woher die IP stammt, dazu musst du ja nicht live dabei sein.

Vielleicht solltest du dann auch den Zugang auf die DS also solchen ein wenig einschränken, wenn dir das zu viel Besuch ist.

 

[blurrrr]

Alles raus, ausser LAN+Deutschland, damit dürfte das meiste schon mal weg sein

 

[Deus of the Wired]

Alles raus, ausser LAN+Deutschland

AusLANder raus? ;D Vorsicht!