Seit einigen Tagen bekomme ich von meinem DSL-Router (SMC 7004 AWBR) in
ungewöhnlicher Häufigkeit Alarme zugeschickt und in das Log geschrieben.
Der Router reicht die Verbindungen per NAT durch.
Auf die Meldungen kann ich mir keinen rechten Reim machen:
*/var/log/router:*
Dec 27 08:25:52 192.168.0.100 7004AWBR[237]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.g.h, 53 (from PPPoE Outbound)
Dec 27 08:25:52 192.168.0.100 7004AWBR[238]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.x.y, 53 (from PPPoE Outbound)
Dec 27 08:25:53 192.168.0.100 7004AWBR[239]:
SMTP> Succeed in sending alert mail.
Dec 27 08:25:54 192.168.0.100 7004AWBR[240]:
SMTP> Succeed in sending alert mail.
Dec 27 08:32:18 192.168.0.100 7004AWBR[241]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.g.h, 53 (from PPPoE Outbound)
Dec 27 08:32:18 192.168.0.100 7004AWBR[242]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.x.y, 53 (from PPPoE Outbound)
Dec 27 08:32:19 192.168.0.100 7004AWBR[243]:
SMTP> Succeed in sending alert mail.
Dec 27 08:32:20 192.168.0.100 7004AWBR[244]:
SMTP> Succeed in sending alert mail.
Dec 27 10:45:55 192.168.0.100 7004AWBR[245]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.g.h, 53 (from PPPoE Outbound)
Dec 27 10:45:55 192.168.0.100 7004AWBR[246]:
**UDP Flood to Host** a.b.c.d, 32768->> e.f.x.y, 53 (from PPPoE Outbound)
Dec 27 10:45:56 192.168.0.100 7004AWBR[247]:
SMTP> Succeed in sending alert mail.
Dec 27 10:45:57 192.168.0.100 7004AWBR[248]:
SMTP> Succeed in sending alert mail.
*IP-Adressen:*
a.b.c.d - öffentliche IP des Routers von T-Online zugewiesen
e.f.g.h - erster T-Online Nameserver
e.f.x.y - zweiter T-Online Nameserver
Die Meldungen kommen auch nur, wenn mein Rechner läuft. Also muss der doch
irgendeinen Murks verursachen.
Den Port 32768 konnte ich bisher nicht lokalisieren. Irgendwo hatte ich
gelesen, dass es mit dem Kernel-NFS-Server zusammenhängen sollte. Den habe
ich dann mal testhalber auf meinem Rechner abgeschaltet. Es kamen aber
weiter die o.a. Meldungen.
Port 53 ist halt DNS - aber die Alerts kommen mir dafür eigentlich zu
periodisch. Teilweise erschienen die Meldungen im Abstand von 5 Minuten.
Ich hatte auch schon mal Wireshark auf eth0 angesetzt um zu schauen von
welchen Ports da was wohin geht - aber auch das war nicht von Erfolg
gekrönt (32768 war nicht dabei).
Auf meinem Rechner läuft so einiges an Software mit Internetzugriff (spamd,
Gaim, fetchmail, Akregator usw.) bisher hat das Abschalten einzelner
Dienste/Programme nichts gebracht. Ach so: OS ist Debian/Etch
Kann mich mal jemand in die richtige Richtung schubsen?
Gruß
Martin