Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

d-link di-604 problem

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
linOS
Member
Member
Beiträge: 203
Registriert: 21. Mai 2004, 18:21
Wohnort: ruhrgebeat
Kontaktdaten:

d-link di-604 problem

Beitrag von linOS »

hallo

ich bekomme folgende einträge unter /var/log/messages zu sehen:

[code]Feb 17 19:36:50 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0b:6a:4b:20:61:00:80:c8:35:fe:89:08:00 SRC=192.168.0.1 DST=192.168.0.137 LEN=45 TOS=0x04 PREC=0x00 TTL=64 ID=52769 PROTO=UDP SPT=4884 DPT=514 LEN=25

Feb 17 19:36:55 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=00:0b:6a:4b:20:61:00:80:c8:35:fe:89:08:00 SRC=192.168.0.1 DST=192.168.0.137 LEN=75 TOS=0x04 PREC=0x00 TTL=64 ID=53025 PROTO=UDP SPT=4885 DPT=514 LEN=55[/code]

192.168.0.1 ist der router, 192.168.0.137 mein rechner. soweit ich schon weiß ich "spt" der port. offenbar wird dieser von 4096 (oder so) bis auf über 63000 gescannt. zuerst dachte cih an einem angriff aus dem internet. kann aber nicht, das modem war aus und dennoch griff der router auf meinen rechner zu. das wäre soweit ja kein problem, wenn nur mein rechner dabei nicht so lahm werden würde und ich fast nichts mehr machen kann. was pasiert jetzt da genau? hat sonst jemand noch einen di-604 und kennt das? wäre klasse wenn ich irgendwie weiterkommen würde.

linos
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Re: d-link di-604 problem

Beitrag von Martin Breidenbach »

linOS hat geschrieben:DPT=514
Ein kurzer Blick in die /etc/services offenbart daß das der Port für Syslog ist.

Hast Du bei der Routerkonfiguration Deinen Rechner als Syslog-Server angegeben ?
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
linOS
Member
Member
Beiträge: 203
Registriert: 21. Mai 2004, 18:21
Wohnort: ruhrgebeat
Kontaktdaten:

Beitrag von linOS »

da klingelts. das habe ich irgendwann mal gemacht. hatte dahingehend auch überlegt und dachte es könnte an einem update liegen oder sowas... danke.

ich dachte da diese eine zahl immer größer wird, das die ports gescannt werden. gibt es irgendwo einen überlblick was die ausgaben im einzelnen bedeuten?
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Welche Zahl wird immer größer ? DPT = destination port ist in Deinem Beispiel beides Mal 514.

Wo das genau dokumentiert weiß ich nicht - irgendwo in der SuSEFirewall2 Doku vermutlich.

MAC = Netzwerkkartenadresse
SRC = source IP Adresse
DST = destination IP Adresse
LEN = dürfte für LENGTH stehen
TOS = ich denke mal 'type of service'
PREC = weiß ich nicht
TTL = time to live
PROTO = Protokoll (TCP, UDP, ICMP...)
SPT = source port
DPT = destination port
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
linOS
Member
Member
Beiträge: 203
Registriert: 21. Mai 2004, 18:21
Wohnort: ruhrgebeat
Kontaktdaten:

Beitrag von linOS »

spt meinte ich. das wurde von etwas über 4000 bis aus 63000 durchgezählt. als wäre gescannt worden.
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Nein, das ist kein Portscan. Der Source Port ist meistens zufällig - da wird einfach ein 'freier' gewählt.

Für einen Portscan müßte er schon den Destination Port variieren.

Das ist einfach nur ein hartnäckiger Syslog der sich nicht von Deiner Firewall einschüchtern läßt.
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
linOS
Member
Member
Beiträge: 203
Registriert: 21. Mai 2004, 18:21
Wohnort: ruhrgebeat
Kontaktdaten:

Beitrag von linOS »

bisher kannte ich die abkürzungen in der messagedatei ja nicht. klar kann sich die quelle nicht verändern ;) danke nochmal, waren wertvolle infos. die /etc/services ist auch sehr gut.

linos
Antworten