info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Firewall-Meldung
73 views
Skip to first unread message
Dieter Schmickler
Feb 8, 2023, 4:55:03 AM2/8/23
to
Hallo,
in den Systemmeldungen meines Routers habe ich heute diese Meldungen
erhalten:
> 08.02.2023 06:21:41 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD] : erkannt. Als Absender wurde die Adresse 81.177.33.4 : 6709 identifiziert. Als Empfänger wurde die 84.151.208.140 : 6500 identifiziert.
> 08.02.2023 06:21:41 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD IP] : erkannt. Als Absender wurde die Adresse 81.177.33.4 : 6619 identifiziert. Als Empfänger wurde die 84.151.208.140 : 6500 identifiziert.
Da ich keine Ahnung von diesen Dingen habe, wäre ich dankbar, wenn mir
jemand helfen würde. Muss ich reagieren oder ist das nur ein Hinweis?
in den Systemmeldungen meines Routers habe ich heute diese Meldungen
erhalten:
> 08.02.2023 06:21:41 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD] : erkannt. Als Absender wurde die Adresse 81.177.33.4 : 6709 identifiziert. Als Empfänger wurde die 84.151.208.140 : 6500 identifiziert.
> 08.02.2023 06:21:41 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD IP] : erkannt. Als Absender wurde die Adresse 81.177.33.4 : 6619 identifiziert. Als Empfänger wurde die 84.151.208.140 : 6500 identifiziert.
Da ich keine Ahnung von diesen Dingen habe, wäre ich dankbar, wenn mir
jemand helfen würde. Muss ich reagieren oder ist das nur ein Hinweis?
Marco Moock
Feb 8, 2023, 5:15:45 AM2/8/23
to
Am 08.02.2023 um 10:55:01 Uhr schrieb Dieter Schmickler:
> > 08.02.2023 06:21:41 (FW001) Firewall-Ereignis:
> > Es wurde ein Ereignis [UDP SYN FLOOD] : erkannt. Als Absender
> > wurde die Adresse 81.177.33.4 : 6709 identifiziert. Als Empfänger
> > wurde die 84.151.208.140 : 6500 identifiziert. 08.02.2023
> > 06:21:41 (FW001) Firewall-Ereignis: Es wurde ein
> > Ereignis [UDP SYN FLOOD IP] : erkannt. Als Absender wurde die
> > Adresse 81.177.33.4 : 6619 identifiziert. Als Empfänger wurde die
> > 84.151.208.140 : 6500 identifiziert.
>
> Da ich keine Ahnung von diesen Dingen habe, wäre ich dankbar, wenn
> mir jemand helfen würde. Muss ich reagieren oder ist das nur ein
> Hinweis?
Läuft da bei dir ein Dienst?
> > 08.02.2023 06:21:41 (FW001) Firewall-Ereignis:
> > Es wurde ein Ereignis [UDP SYN FLOOD] : erkannt. Als Absender
> > wurde die Adresse 81.177.33.4 : 6709 identifiziert. Als Empfänger
> > wurde die 84.151.208.140 : 6500 identifiziert. 08.02.2023
> > 06:21:41 (FW001) Firewall-Ereignis: Es wurde ein
> > Ereignis [UDP SYN FLOOD IP] : erkannt. Als Absender wurde die
> > Adresse 81.177.33.4 : 6619 identifiziert. Als Empfänger wurde die
> > 84.151.208.140 : 6500 identifiziert.
>
> Da ich keine Ahnung von diesen Dingen habe, wäre ich dankbar, wenn
> mir jemand helfen würde. Muss ich reagieren oder ist das nur ein
> Hinweis?
Dann sit SYN-Flooding relevant, falls nicht, ist es egal, wird eh mit
RST beantwortet.
PS: Hast du ein paar Russen geärgert?
inetnum: 81.177.32.0 - 81.177.33.255
netname: INSOLVERTC3
descr: In-Solve/1Gb.ru hosting services provider
country: RU
admin-c: DM3950-RIPE
tech-c: DM3950-RIPE
status: ASSIGNED PA
mnt-by: AS8342-MNT
created: 2008-12-09T13:32:52Z
last-modified: 2008-12-09T13:32:52Z
source: RIPE # Filtered
person: Dmitry Mikhailov
address: 123100, Russia, Moscow,
address: Presnenskaya 12, Fed. Tower, 45th floor
Laurenz Trossel
Feb 8, 2023, 5:21:00 AM2/8/23
to
On 2023-02-08, Dieter Schmickler <dieter.s...@t-online.de> wrote:
>> 08.02.2023 06:21:41 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD] : erkannt. Als Absender wurde die Adresse 81.177.33.4 : 6709 identifiziert. Als Empfänger wurde die 84.151.208.140 : 6500 identifiziert.
UDP SYN FLOOD. Facepalm. Kann man so schreiben.
>> 08.02.2023 06:21:41 (FW001) Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD] : erkannt. Als Absender wurde die Adresse 81.177.33.4 : 6709 identifiziert. Als Empfänger wurde die 84.151.208.140 : 6500 identifiziert.
> Da ich keine Ahnung von diesen Dingen habe, wäre ich dankbar, wenn mir
> jemand helfen würde. Muss ich reagieren oder ist das nur ein Hinweis?
du, daß du noch sicher bist. Wenn diese Meldungen ausbleiben, musst du dir
Sorgen machen. Dann ist dein Internet-Anschluss ausgefallen.
Dieter Schmickler
Feb 8, 2023, 5:24:45 AM2/8/23
to
Am 08.02.23 um 11:15 schrieb Marco Moock:
> Läuft da bei dir ein Dienst?
> Dann sit SYN-Flooding relevant, falls nicht, ist es egal, wird eh mit
> RST beantwortet.
Nicht das ich wüsste. Welcher Dienst z.B.?
> Dann sit SYN-Flooding relevant, falls nicht, ist es egal, wird eh mit
> RST beantwortet.
>
> PS: Hast du ein paar Russen geärgert?
Nein, außer der Tasache das alle dubiosen Mails im Junk landen.
> PS: Hast du ein paar Russen geärgert?
Dieter Schmickler
Feb 8, 2023, 5:27:10 AM2/8/23
to
Am 08.02.23 um 11:20 schrieb Laurenz Trossel:
> Dein Speedport hat irgend was erkannt. Es waren die Russen. Daran erkennst
> du, daß du noch sicher bist.
Danke.
> du, daß du noch sicher bist.
Marco Moock
Feb 8, 2023, 5:50:26 AM2/8/23
to
Am 08.02.2023 um 11:24:44 Uhr schrieb Dieter Schmickler:
> Am 08.02.23 um 11:15 schrieb Marco Moock:
> > Läuft da bei dir ein Dienst?
> > Dann sit SYN-Flooding relevant, falls nicht, ist es egal, wird eh
> > mit RST beantwortet.
>
> Nicht das ich wüsste. Welcher Dienst z.B.?
Webserver, Telnet, SSH etc., ggf. auch Portweiterleitung.
> Am 08.02.23 um 11:15 schrieb Marco Moock:
> > Läuft da bei dir ein Dienst?
> > Dann sit SYN-Flooding relevant, falls nicht, ist es egal, wird eh
> > mit RST beantwortet.
>
> Nicht das ich wüsste. Welcher Dienst z.B.?
Marco Moock
Feb 8, 2023, 5:52:10 AM2/8/23
to
Am 08.02.2023 um 10:20:59 Uhr schrieb Laurenz Trossel:
> On 2023-02-08, Dieter Schmickler <dieter.s...@t-online.de>
> wrote:
>
> >> 08.02.2023 06:21:41 (FW001)
> >> Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD] :
> >> erkannt. Als Absender wurde die Adresse 81.177.33.4 : 6709
> >> identifiziert. Als Empfänger wurde die 84.151.208.140 : 6500
> >> identifiziert.
>
> UDP SYN FLOOD. Facepalm. Kann man so schreiben.
Die Frage ist nun, ob es UDP ist, da gibt es kein SYN. Läuft da kein
> On 2023-02-08, Dieter Schmickler <dieter.s...@t-online.de>
> wrote:
>
> >> 08.02.2023 06:21:41 (FW001)
> >> Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD] :
> >> erkannt. Als Absender wurde die Adresse 81.177.33.4 : 6709
> >> identifiziert. Als Empfänger wurde die 84.151.208.140 : 6500
> >> identifiziert.
>
> UDP SYN FLOOD. Facepalm. Kann man so schreiben.
Dienst, kommt UDP-mäßig gar nichts und ein ICMP port unreachable.
> > Da ich keine Ahnung von diesen Dingen habe, wäre ich dankbar, wenn
> > mir jemand helfen würde. Muss ich reagieren oder ist das nur ein
> > Hinweis?
>
> Dein Speedport hat irgend was erkannt. Es waren die Russen. Daran
> erkennst du, daß du noch sicher bist. Wenn diese Meldungen
> ausbleiben, musst du dir Sorgen machen. Dann ist dein
> Internet-Anschluss ausgefallen.
kommen.
Dann sollte man eine abuse-Mail da hinschicken und die IP als Quelle
temporär auf DROP setzen in der FW.
Dieter Schmickler
Feb 8, 2023, 6:10:40 AM2/8/23
to
Am 08.02.23 um 11:50 schrieb Marco Moock:
> Webserver, Telnet, SSH etc., ggf. auch Portweiterleitung.
Nein, nichts von alle dem.
Marco Moock
Feb 8, 2023, 6:37:00 AM2/8/23
to
nmap -p 1-65535 <deine IP>
Für UDP:
nmap -p 1-65535 -sU <deine IP>
Dieter Schmickler
Feb 8, 2023, 7:42:23 AM2/8/23
to
Am 08.02.23 um 12:36 schrieb Marco Moock:
Starting Nmap 7.93 ( https://nmap.org ) at 2023-02-08 13:37 CET
Nmap scan report for dieter-ms7798 (192.168.2.101)
Host is up (0.000096s latency).
Not shown: 65527 closed tcp ports (conn-refused)
PORT STATE SERVICE
111/tcp open rpcbind
631/tcp open ipp
1716/tcp open xmsg
2049/tcp open nfs
8200/tcp open trivnet1
20048/tcp open mountd
36277/tcp open unknown
45043/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 2.36 seconds
sudo nmap -p 1-65535 -sU 192.168.2.101
[sudo] Passwort für dieter:
Starting Nmap 7.93 ( https://nmap.org ) at 2023-02-08 13:38 CET
Nmap scan report for dieter-ms7798 (192.168.2.101)
Host is up (0.0000060s latency).
Not shown: 65528 closed udp ports (port-unreach)
PORT STATE SERVICE
111/udp open rpcbind
1716/udp open|filtered xmsg
20048/udp open|filtered mountd
38421/udp open|filtered unknown
43148/udp open unknown
47860/udp open unknown
50509/udp open unknown
Nmap done: 1 IP address (1 host up) scanned in 2.54 seconds
> Mache mal einen Test mit nmap:
> nmap -p 1-65535 <deine IP>
>
> Für UDP:
> nmap -p 1-65535 -sU <deine IP>
>
nmap -p 1-65535 192.168.2.101
> nmap -p 1-65535 <deine IP>
>
> Für UDP:
> nmap -p 1-65535 -sU <deine IP>
>
Starting Nmap 7.93 ( https://nmap.org ) at 2023-02-08 13:37 CET
Nmap scan report for dieter-ms7798 (192.168.2.101)
Host is up (0.000096s latency).
Not shown: 65527 closed tcp ports (conn-refused)
PORT STATE SERVICE
111/tcp open rpcbind
631/tcp open ipp
1716/tcp open xmsg
2049/tcp open nfs
8200/tcp open trivnet1
20048/tcp open mountd
36277/tcp open unknown
45043/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 2.36 seconds
sudo nmap -p 1-65535 -sU 192.168.2.101
[sudo] Passwort für dieter:
Starting Nmap 7.93 ( https://nmap.org ) at 2023-02-08 13:38 CET
Nmap scan report for dieter-ms7798 (192.168.2.101)
Host is up (0.0000060s latency).
Not shown: 65528 closed udp ports (port-unreach)
PORT STATE SERVICE
111/udp open rpcbind
1716/udp open|filtered xmsg
20048/udp open|filtered mountd
38421/udp open|filtered unknown
43148/udp open unknown
47860/udp open unknown
50509/udp open unknown
Nmap done: 1 IP address (1 host up) scanned in 2.54 seconds
Marco Moock
Feb 8, 2023, 7:55:59 AM2/8/23
to
Am 08.02.2023 um 13:42:21 Uhr schrieb Dieter Schmickler:
> PORT STATE SERVICE
> 111/tcp open rpcbind
> 631/tcp open ipp
> 1716/tcp open xmsg
> 2049/tcp open nfs
> 8200/tcp open trivnet1
> 20048/tcp open mountd
> 36277/tcp open unknown
> 45043/tcp open unknown
> PORT STATE SERVICE
> 111/tcp open rpcbind
> 631/tcp open ipp
> 1716/tcp open xmsg
> 2049/tcp open nfs
> 8200/tcp open trivnet1
> 20048/tcp open mountd
> 36277/tcp open unknown
> 45043/tcp open unknown
> Not shown: 65528 closed udp ports (port-unreach)
> PORT STATE SERVICE
> 111/udp open rpcbind
> 1716/udp open|filtered xmsg
> 20048/udp open|filtered mountd
> 38421/udp open|filtered unknown
> 43148/udp open unknown
> 47860/udp open unknown
> 50509/udp open unknown
Da läuft einiges.
> PORT STATE SERVICE
> 111/udp open rpcbind
> 1716/udp open|filtered xmsg
> 20048/udp open|filtered mountd
> 38421/udp open|filtered unknown
> 43148/udp open unknown
> 47860/udp open unknown
> 50509/udp open unknown
Nutzt du die Dienste?
Falls nein: Abstellen aus Sicherheitsgründen.
Dieter Schmickler
Feb 8, 2023, 8:22:05 AM2/8/23
to
Am 08.02.23 um 13:55 schrieb Marco Moock:
nfs-server (2049/tcp nfs 820)
drucker ( 631/tcp ipp )
Das sind die Dienste, die ich benutze. Wo die 'unbekannt' herkommen ist
mir rätselhaft.
> Falls nein: Abstellen aus Sicherheitsgründen.
Und wie mach ich das?
> Da läuft einiges.
> Nutzt du die Dienste?
minidlna (8200/tcp trivnet1)
> Nutzt du die Dienste?
nfs-server (2049/tcp nfs 820)
drucker ( 631/tcp ipp )
Das sind die Dienste, die ich benutze. Wo die 'unbekannt' herkommen ist
mir rätselhaft.
> Falls nein: Abstellen aus Sicherheitsgründen.
Marco Moock
Feb 8, 2023, 8:25:00 AM2/8/23
to
Am 08.02.2023 um 14:22:02 Uhr schrieb Dieter Schmickler:
> Am 08.02.23 um 13:55 schrieb Marco Moock:
> > Da läuft einiges.
> > Nutzt du die Dienste?
>
> minidlna (8200/tcp trivnet1)
> nfs-server (2049/tcp nfs 820)
> drucker ( 631/tcp ipp )
>
> Das sind die Dienste, die ich benutze. Wo die 'unbekannt' herkommen
> ist mir rätselhaft.
Nutzt du die aus dem Internet?
> Am 08.02.23 um 13:55 schrieb Marco Moock:
> > Da läuft einiges.
> > Nutzt du die Dienste?
>
> minidlna (8200/tcp trivnet1)
> nfs-server (2049/tcp nfs 820)
> drucker ( 631/tcp ipp )
>
> Das sind die Dienste, die ich benutze. Wo die 'unbekannt' herkommen
> ist mir rätselhaft.
Falls nicht: Nur auf den IPs im internen Netz lauschen lassen am
Router, wenn das irgendwie geht.
> > Falls nein: Abstellen aus Sicherheitsgründen.
>
> Und wie mach ich das?
Dieter Schmickler
Feb 8, 2023, 8:38:11 AM2/8/23
to
Am 08.02.23 um 14:24 schrieb Marco Moock:
> Falls nicht: Nur auf den IPs im internen Netz lauschen lassen am
> Router, wenn das irgendwie geht.
Wo stellt man das ein?
> Was für ein Router ist es?
ein Speedport Smart 4 Typ A
> Nutzt du die aus dem Internet?
Nein, nur local
> Falls nicht: Nur auf den IPs im internen Netz lauschen lassen am
> Router, wenn das irgendwie geht.
> Was für ein Router ist es?
Marco Moock
Feb 8, 2023, 8:55:13 AM2/8/23
to
Kay Martinen
Feb 8, 2023, 12:50:02 PM2/8/23
to
Am 08.02.23 um 14:55 schrieb Marco Moock:
Wenn dessen WebUI meinem SPH gleicht dann unter Internet und
Portfreigabe schauen ob was definiert und aktiviert ist. Dort kann man
es auch löschen. Was ich empfehle wenn du es nicht vom Internet in dein
LAN hinein lassen willst - wie du ja schreibst (nur lokal)
Bye/
/Kay
--
"Kann ein Wurstbrot die Welt retten?" :-)
Portfreigabe schauen ob was definiert und aktiviert ist. Dort kann man
es auch löschen. Was ich empfehle wenn du es nicht vom Internet in dein
LAN hinein lassen willst - wie du ja schreibst (nur lokal)
Bye/
/Kay
--
"Kann ein Wurstbrot die Welt retten?" :-)
Kay Martinen
Feb 8, 2023, 1:00:02 PM2/8/23
to
Am 08.02.23 um 11:52 schrieb Marco Moock:
das ausnutzen.
>> Dein Speedport hat irgend was erkannt. Es waren die Russen. Daran
>> erkennst du, daß du noch sicher bist. Wenn diese Meldungen
>> ausbleiben, musst du dir Sorgen machen. Dann ist dein
>> Internet-Anschluss ausgefallen.
Wenn sein Internet ausgefallen ist dann ist er: Sicher. ;)
> Damit man damit einen Router down bekommt muss sehr viel Traffic von da
> kommen.
Was bei UDP doch leichter fallen wird. Bei einem DDoS Angriff.
> Dann sollte man eine abuse-Mail da hinschicken und die IP als Quelle
> temporär auf DROP setzen in der FW.
Sein Smart wird; so wie mein SPH dafür nicht mal eine Option haben. Du
kannst es bestenfalls umleiten auf eine interne IP und dort dann droppen
lassen.
Und abuse mail an eine ohnehin evtl. zweifelhaft Quelle in RU... Warum
nicht gleich ein Dankschreiben für den Hack-versuch hin schicken? ;)
Don't feed the Hackers please.
> Am 08.02.2023 um 10:20:59 Uhr schrieb Laurenz Trossel:
>
>> On 2023-02-08, Dieter Schmickler <dieter.s...@t-online.de>
>> wrote:
>>
>>>> 08.02.2023 06:21:41 (FW001)
>>>> Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD] :
>>>> erkannt. Als Absender wurde die Adresse 81.177.33.4 : 6709
>>>> identifiziert. Als Empfänger wurde die 84.151.208.140 : 6500
>>>> identifiziert.
>>
>> UDP SYN FLOOD. Facepalm. Kann man so schreiben.
>
> Die Frage ist nun, ob es UDP ist, da gibt es kein SYN. Läuft da kein
> Dienst, kommt UDP-mäßig gar nichts und ein ICMP port unreachable.
Das manche Router auch nicht senden um nicht attacken zu verstärken die
>
>> On 2023-02-08, Dieter Schmickler <dieter.s...@t-online.de>
>> wrote:
>>
>>>> 08.02.2023 06:21:41 (FW001)
>>>> Firewall-Ereignis: Es wurde ein Ereignis [UDP SYN FLOOD] :
>>>> erkannt. Als Absender wurde die Adresse 81.177.33.4 : 6709
>>>> identifiziert. Als Empfänger wurde die 84.151.208.140 : 6500
>>>> identifiziert.
>>
>> UDP SYN FLOOD. Facepalm. Kann man so schreiben.
>
> Die Frage ist nun, ob es UDP ist, da gibt es kein SYN. Läuft da kein
> Dienst, kommt UDP-mäßig gar nichts und ein ICMP port unreachable.
das ausnutzen.
>> Dein Speedport hat irgend was erkannt. Es waren die Russen. Daran
>> erkennst du, daß du noch sicher bist. Wenn diese Meldungen
>> ausbleiben, musst du dir Sorgen machen. Dann ist dein
>> Internet-Anschluss ausgefallen.
> Damit man damit einen Router down bekommt muss sehr viel Traffic von da
> kommen.
> Dann sollte man eine abuse-Mail da hinschicken und die IP als Quelle
> temporär auf DROP setzen in der FW.
kannst es bestenfalls umleiten auf eine interne IP und dort dann droppen
lassen.
Und abuse mail an eine ohnehin evtl. zweifelhaft Quelle in RU... Warum
nicht gleich ein Dankschreiben für den Hack-versuch hin schicken? ;)
Don't feed the Hackers please.
Marco Moock
Feb 8, 2023, 1:30:44 PM2/8/23
to
Am 08.02.2023 um 18:56:11 Uhr schrieb Kay Martinen:
> Und abuse mail an eine ohnehin evtl. zweifelhaft Quelle in RU...
> Warum nicht gleich ein Dankschreiben für den Hack-versuch hin
> schicken? ;)
>
> Don't feed the Hackers please.
Das KANN sein - muss aber nicht. Zwar kümmert sich nicht jeder um den
> Und abuse mail an eine ohnehin evtl. zweifelhaft Quelle in RU...
> Warum nicht gleich ein Dankschreiben für den Hack-versuch hin
> schicken? ;)
>
> Don't feed the Hackers please.
Missbrauch in einem AS - manche aber schon.
Die Diskussion hatten wir ja schon bei den Newsservern.
Dieter Schmickler
Feb 9, 2023, 2:12:51 AM2/9/23
to
Am 08.02.23 um 18:44 schrieb Kay Martinen:
> Wenn dessen WebUI meinem SPH gleicht dann unter Internet und
> Portfreigabe schauen ob was definiert und aktiviert ist. Dort kann man
> es auch löschen. Was ich empfehle wenn du es nicht vom Internet in dein
> LAN hinein lassen willst - wie du ja schreibst (nur lokal)
Im Router ist keine Portweiterleitung eingerichtet. Ja, mein Lan benutze
ich nur local.
> Wenn dessen WebUI meinem SPH gleicht dann unter Internet und
> Portfreigabe schauen ob was definiert und aktiviert ist. Dort kann man
> es auch löschen. Was ich empfehle wenn du es nicht vom Internet in dein
> LAN hinein lassen willst - wie du ja schreibst (nur lokal)
ich nur local.
0 new messages