Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

UDP Flood to host - ich find's nicht

57 views
Skip to first unread message

Martin Holz

unread,
Dec 27, 2006, 5:45:27 AM12/27/06
to
Hallo zusammen!

Seit einigen Tagen bekomme ich von meinem DSL-Router (SMC 7004 AWBR) in
ungewöhnlicher Häufigkeit Alarme zugeschickt und in das Log geschrieben.
Der Router reicht die Verbindungen per NAT durch.
Auf die Meldungen kann ich mir keinen rechten Reim machen:

*/var/log/router:*
Dec 27 08:25:52 192.168.0.100 7004AWBR[237]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.g.h, 53 (from PPPoE Outbound)
Dec 27 08:25:52 192.168.0.100 7004AWBR[238]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.x.y, 53 (from PPPoE Outbound)

Dec 27 08:25:53 192.168.0.100 7004AWBR[239]:
SMTP> Succeed in sending alert mail.
Dec 27 08:25:54 192.168.0.100 7004AWBR[240]:
SMTP> Succeed in sending alert mail.

Dec 27 08:32:18 192.168.0.100 7004AWBR[241]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.g.h, 53 (from PPPoE Outbound)
Dec 27 08:32:18 192.168.0.100 7004AWBR[242]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.x.y, 53 (from PPPoE Outbound)

Dec 27 08:32:19 192.168.0.100 7004AWBR[243]:
SMTP> Succeed in sending alert mail.
Dec 27 08:32:20 192.168.0.100 7004AWBR[244]:
SMTP> Succeed in sending alert mail.

Dec 27 10:45:55 192.168.0.100 7004AWBR[245]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.g.h, 53 (from PPPoE Outbound)
Dec 27 10:45:55 192.168.0.100 7004AWBR[246]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.x.y, 53 (from PPPoE Outbound)

Dec 27 10:45:56 192.168.0.100 7004AWBR[247]:
SMTP> Succeed in sending alert mail.
Dec 27 10:45:57 192.168.0.100 7004AWBR[248]:
SMTP> Succeed in sending alert mail.

*IP-Adressen:*
a.b.c.d - öffentliche IP des Routers von T-Online zugewiesen
e.f.g.h - erster T-Online Nameserver
e.f.x.y - zweiter T-Online Nameserver

Die Meldungen kommen auch nur, wenn mein Rechner läuft. Also muss der doch
irgendeinen Murks verursachen.

Den Port 32768 konnte ich bisher nicht lokalisieren. Irgendwo hatte ich
gelesen, dass es mit dem Kernel-NFS-Server zusammenhängen sollte. Den habe
ich dann mal testhalber auf meinem Rechner abgeschaltet. Es kamen aber
weiter die o.a. Meldungen.

Port 53 ist halt DNS - aber die Alerts kommen mir dafür eigentlich zu
periodisch. Teilweise erschienen die Meldungen im Abstand von 5 Minuten.

Ich hatte auch schon mal Wireshark auf eth0 angesetzt um zu schauen von
welchen Ports da was wohin geht - aber auch das war nicht von Erfolg
gekrönt (32768 war nicht dabei).

Auf meinem Rechner läuft so einiges an Software mit Internetzugriff (spamd,
Gaim, fetchmail, Akregator usw.) bisher hat das Abschalten einzelner
Dienste/Programme nichts gebracht. Ach so: OS ist Debian/Etch

Kann mich mal jemand in die richtige Richtung schubsen?

Gruß
Martin


0 new messages