Perdi Geplaatst: 31 mei 2005 Geplaatst: 31 mei 2005 De security log van m'n router loopt altijd in een paar dagen vol met dit soort events. Kan iemand mij vertellen wat dit betekend en/of ik nu 'bang' moet worden? May 31 22:35:17 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 162.195.17.10->70.9.80.100 offset: 1104 on ixp0 May 31 22:35:17 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 35.227.17.10->70.8.80.100 offset: 1104 on ixp0 May 31 22:33:17 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 204.6.17.10->70.7.192.168 offset: 1104 on ixp1 May 31 22:33:17 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 77.38.17.10->70.6.192.168 offset: 1104 on ixp1 May 31 22:23:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 162.201.17.10->70.5.80.100 offset: 1104 on ixp0 May 31 22:23:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 35.233.17.10->70.4.80.100 offset: 1104 on ixp0 May 31 22:21:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 204.12.17.10->70.3.192.168 offset: 1104 on ixp1 May 31 22:21:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 77.44.17.10->70.2.192.168 offset: 1104 on ixp1 May 31 22:11:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 162.205.17.10->70.1.80.100 offset: 1104 on ixp0 May 31 22:11:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 35.237.17.10->70.0.80.100 offset: 1104 on ixp0 May 31 22:09:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 204.16.17.10->69.255.192.168 offset: 1104 on ixp1 May 31 22:09:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 77.48.17.10->69.254.192.168 offset: 1104 on ixp1 May 31 21:59:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 162.209.17.10->69.253.80.100 offset: 1104 on ixp0 May 31 21:59:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 35.241.17.10->69.252.80.100 offset: 1104 on ixp0 May 31 21:57:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 204.20.17.10->69.251.192.168 offset: 1104 on ixp1 May 31 21:57:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 77.52.17.10->69.250.192.168 offset: 1104 on ixp1 May 31 21:47:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 162.213.17.10->69.249.80.100 offset: 1104 on ixp0 May 31 21:47:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 35.245.17.10->69.248.80.100 offset: 1104 on ixp0 May 31 21:45:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 204.24.17.10->69.247.192.168 offset: 1104 on ixp1 May 31 21:45:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 77.56.17.10->69.246.192.168 offset: 1104 on ixp1 May 31 21:35:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 162.217.17.10->69.245.80.100 offset: 1104 on ixp0 May 31 21:35:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 35.249.17.10->69.244.80.100 offset: 1104 on ixp0 May 31 21:33:16 2005 Inbound Traffic Blocked - Illegal packet options PROTO 138 Fragment 204.28.17.10->69.243.192.168 offset: 1104 on ixp1 Groeten, PerdiGigaBlue Quad+ * GigaBlue 800UE+ * Synology DS411j NAS * WaveFrontier T90 28.2E-5W * draaibaar 1m.
Perdi Geplaatst: 31 mei 2005 Auteur Geplaatst: 31 mei 2005 Was dit een domme vraag, of weet niemand wat dit is? Als het een domme vraag is zeg het gerust, dan kan ik er misschien toch iets van leren. Alvast bedankt! <img src="/forums/images/graemlins/xyxthumbs.gif" alt="" /> Groeten, PerdiGigaBlue Quad+ * GigaBlue 800UE+ * Synology DS411j NAS * WaveFrontier T90 28.2E-5W * draaibaar 1m.
Cool_Mod_E Geplaatst: 31 mei 2005 Geplaatst: 31 mei 2005 Wat heb je zelf al geprobeerd uit te vinden ? Ik kan van je log niet echt van onder de indruk raken <img src="/forums/images/graemlins/smirk.gif" alt="" /> Port 138 heeft te maken met Microsoft print and file sharing, Samba. Het belangrijkste is, dat het geblokkeerd word, dus wat dat betreft geen probleem. De hoeveelheid vind ik echter wel wat aan de hoge kant. Heb je soms file& printsharing aanstaan op je PC? Want schijnbaar denken een flink aantal mensen dat er wat bij je te halen valt <img src="/forums/images/graemlins/grin.gif" alt="" /> Edit: ik zie nu pas dat het ook outbound is! Scan je pc maar eens goed op spyware.. Oh jah,.... het is niet echt netjes om je topic al na 32 minuten te kicken ! Geef ons ook even de kans om te reageren? <img src="/forums/images/graemlins/xyxthumbs.gif" alt="" />
Perdi Geplaatst: 31 mei 2005 Auteur Geplaatst: 31 mei 2005 Bedankt Cool_Mod_E, Ik heb inderdaad file&printersharing aan staan. Spyware kan, maar Hitman Pro doet hier regelmatig de was. Het wordt wel geblokkeerd maar binnen drie dagen in m'n security log vol! Waar zie je trouwens dat het ook outbound is? Ik zie alleen inbound. Wat ik opvallend vind, is dat de IP nrs. volgens een bepaalde systematiek verschillen; er zit altijd een deel van m'n WAN ip of een deel van m'n router IP. Het IP adres van de afzender vertoont ook vaste patronen (herhalen van combinaties met vaste 'sprongen'). Lijkt een 'vervalst' afzender IP adres? Heb je nog suggesties? Dat ik na een half uur kickte was overigens niet vervelend bedoeld, ik kan me juist voorstellen dat een domme vraag niet tot een antwoord uitnodigt en dat neem ik ook niemand kwalijk. In ieder geval sorry; zal niet meer gebeuren. Groeten, PerdiGigaBlue Quad+ * GigaBlue 800UE+ * Synology DS411j NAS * WaveFrontier T90 28.2E-5W * draaibaar 1m.
Cool_Mod_E Geplaatst: 1 juni 2005 Geplaatst: 1 juni 2005 Perdi, Ondanks dat je router alles als inbound ziet, concludeer ik uit "Source->destination" adressen dat het e.a.a. zich nooit allemaal achter jouw router kan bevinden... Wat ook nog kan zijn (vrije interpretatie van jouw logfile) is dat men jouw router / machine als forwarding proxy probeert te gebruiken... Ik zie inderdaad de systematiek in de adressen..... vermoedelijk een geautomatiseerd process wat het e.e.a. aan het afscannen is. Gezien het feit dat het dan 'gespoofte' adressen zijn, lijkt het me het makkelijkst om jouw provider op de hoogte te brengen (dan kunnen zij mogelijk de herkomst vaststellen en gepaste maatregelen nemen. success ! <img src="/forums/images/graemlins/xyxthumbs.gif" alt="" />
Rexxx Geplaatst: 27 juni 2005 Geplaatst: 27 juni 2005 Standaard portscans, zijn schijnbaar volledig geautomatiseerd. Wel is het een beetje raar dat al die verschillende destinations IP adressen bij jouw terecht komen. Dat zou niet zomaar mogen als je provider de routing goed heeft staan. Overigens, ik filter zo'n 35.000 packets per dag, allemaal 'standaard' portscans. /Rexxx - Mijn dochter kan sneller zappen als ik....
Aanbevolen berichten
Maak een account aan of log in om te reageren
Je moet een lid zijn om een reactie te kunnen achterlaten
Account aanmaken
Registreer voor een nieuwe account in onze community. Het is erg gemakkelijk!
Registreer een nieuwe accountInloggen
Heb je reeds een account? Log hier in.
Nu inloggen