Supportnet / Forum / PC-Sonstiges
NIS 2003 und UDP-Meldung
Frage
Hallo,
habe NIS 2003 und finde in meinem Firewall-Protokoll ständig Einträge, dass ankommende UDP-Pakete zugelassen wurden. Teilweise finde ich bis zu 30 Einträge pro Minute. Ist dies normal? Sind dies Angriffe?
dslman
Antwort 1 von Jeff
Nein, das ist föllig OK.
UDP ist ein Broadcast-Protokoll. Dient nur zu senden von Informationen. Den Sender interessiert dabei nicht, wer seine Pakete annimmt und wer nicht.
Keine Sorge also...
Gruß
Jeff
UDP ist ein Broadcast-Protokoll. Dient nur zu senden von Informationen. Den Sender interessiert dabei nicht, wer seine Pakete annimmt und wer nicht.
Keine Sorge also...
Gruß
Jeff
Antwort 2 von dslman
Danke für die Info. Wer oder was versendet denn dann die Pakete?
Habe eben in meinem Verbindungsprotokoll folgenden Eintrag gefunden: logv18.xiti.com Was ist das für eine Adresse? Ich war nur bei Microsoft, Ciao und Yahoo.
dslman
Habe eben in meinem Verbindungsprotokoll folgenden Eintrag gefunden: logv18.xiti.com Was ist das für eine Adresse? Ich war nur bei Microsoft, Ciao und Yahoo.
dslman
Antwort 3 von Jeff
xiti ist eine portugisische software firma. vielleicht eine Shareware, die auf deinem Rechner läuft.
Versuch mal mit Adaware 6 nach tracking cookies zu suchen.
Gruß
Jeff
Versuch mal mit Adaware 6 nach tracking cookies zu suchen.
Gruß
Jeff
Antwort 4 von dslman
Habe über die Temp. Internet Files herausgefunden, dass diese xiti-Adresse wahrscheinlich von Ciao ausgelöst wird. Ich fand ein paar kleine Bildchen mit denen wohl die besuchten Ciao-Seiten erfasst werden. Ein xiti-Cookie habe ich auch gefunden, das anscheinend beim Betreten der Ciao-Seiten erstellt wird. Den Cookie-Inhalt konnte ich nicht entziffern.
Noch einmal zu den UDP-Paketen. Was beinhalten diese und wer oder was versendet sie?
dslman
Noch einmal zu den UDP-Paketen. Was beinhalten diese und wer oder was versendet sie?
dslman
Antwort 5 von dslman
Habe heute über den Tag verteilt immer wieder (ca. 5 mal) folgenden Angriff (trotz mehrfacher Neueinwahl) von der gleichen Stelle:
Regel "Windows-Dateifreigabe blockieren" verbarg (65.33.253.187,nbsession(139)).
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (xxxxxx,nbsession(139))
Remote-Adresse, Dienst ist (65.33.253.187,2551)
Prozessname ist "C:\WINDOWS\SYSTEM\RNAAPP.EXE"
Was ist das für eine Adresse? Habt ihr auch so einen Angriff? Die Adresse gehört laut Symantec-Online-Traceroute zu einer US-Firma namens ROADRUNNER. Kennt die Firma jemand?
dslman
Regel "Windows-Dateifreigabe blockieren" verbarg (65.33.253.187,nbsession(139)).
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (xxxxxx,nbsession(139))
Remote-Adresse, Dienst ist (65.33.253.187,2551)
Prozessname ist "C:\WINDOWS\SYSTEM\RNAAPP.EXE"
Was ist das für eine Adresse? Habt ihr auch so einen Angriff? Die Adresse gehört laut Symantec-Online-Traceroute zu einer US-Firma namens ROADRUNNER. Kennt die Firma jemand?
dslman
Antwort 6 von dslman
Hatte etwa nur ich die Angriffe?
dslteam
dslteam
Antwort 7 von dslman
Hatte schon wieder so einen Eintrag (wieder gleiche Remote-Adresse)! Bin nun doch etwas beunruhigt.
dslman
dslman
Antwort 8 von dslman
Eben meldete NIS einen Backdoor/SubSeven-Angriff. Die Remote-Adresse war dieses mal etwas anders, aber die Zurückverfolgung ergab, dass auch diese Adresse von dem mir unbekannten Anbieter "ROADRUNNER" stammt. Was soll ich tun? Hat es der Angreifer nur auf mich abgesehen? Wie kommt er überhaupt immer wieder zu mir durch, da ich doch bei jeder Einwahl eine andere IP-Nummer habe? Bitte helft mir.
dslman
dslman
Antwort 9 von Cottet
Es handelt sich in der Regel nicht um Angriffe, sondern um harmlose Portscan(s), die überhaupt nicht "gefährlich" sind. Solche Angriffsmeldungen, wie die Norton Firewall von sich gibt, ist nur eine Verkaufsmasche von Symantec, damit der Kunde denkt, dass ihn seine gekaufte Software wirksam vor vielen Angriffen schützt.
Solche Panikwarnmeldungen einfach ignorieren und weiter surfen :-)
Solche Panikwarnmeldungen einfach ignorieren und weiter surfen :-)
Antwort 10 von dslman
Danke für die Info. Ich hatte gestern aber auffallend viele Einträge. Obwohl ich mich öfters neu eingewählt habe, waren es immer wieder die gleichen Angreifer mit den selben IP-Nummern (u. a. von dem US-Provider "ROADRUNNER"). Wie kann das sein? Habt ihr gestern auch ähnliche Beobachtungen gemacht?
dslman
dslman
Antwort 11 von dslman
Niemand da, der oder die meine Fragen beantworten kann? :-)
dslman
dslman
Antwort 12 von dslman
Noch einmal ein Versuch mit der Hoffnung auf Antworten. :-)
dslman
dslman
Antwort 13 von dslman
Vielleicht ist heute Abend wer da, der oder die meine Fragen beantworten kann? Bin für jede nützliche Antwort dankbar. :-)
dslman
dslman
Antwort 14 von dslman
Noch ein Versuch.
dslman
dslman
Antwort 15 von dslman
Wer hilft mir?
dslman
dslman
Antwort 16 von Sub7.
Keiner Du Z
Antwort 17 von dslman
Warum denn nicht? :-(
dslman
dslman
Antwort 18 von dslman
Sind meine Fragen denn so schwer zu beantworten? Möchte doch nur wissen, ob ich mir Gedanken wegen eines gezielten Angriffes machen muss?
dslman :-)
dslman :-)
Antwort 19 von Cottet
Antwort 9 !
Antwort 20 von dslman
Ok, aber obwohl ich mich öfters neu eingewählt habe, waren es immer wieder die gleichen Angreifer mit den selben IP-Nummern (u. a. von dem US-Provider "ROADRUNNER"). Wie kann das sein? Dies würde ja bedeuten, dass meine unterschiedlichen IP's zufällig immer wieder vom selben Angreifer gescannt wurden. Wäre dies nicht ein großer Zufall? Oder denke ich falsch?
dslman
dslman