3.3k Aufrufe
Gefragt in NW-Sonstiges von meldrian Mitglied (421 Punkte)
Hallo, ich habe die Firewall "Firestarter" auf einem Ubuntu System im Einsatz und bekomme unheimlich viele "Hits" auf den Port 29974 von verschiedenen IP Adressen.

Meine Sorge: Was ist das?

Hier mal die Zugriffe der vergangenen 3 Minuten:

Time:Jan 9 21:52:06 Direction: Unbekannt In:eth0 Out: Port:29974 Source:87.194.34.187 Destination:192.168.2.100 Length:299 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:52:04 Direction: Unbekannt In:eth0 Out: Port:29974 Source:150.108.235.69 Destination:192.168.2.100 Length:297 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:52:00 Direction: Unbekannt In:eth0 Out: Port:29974 Source:92.0.28.53 Destination:192.168.2.100 Length:319 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:59 Direction: Unbekannt In:eth0 Out: Port:29974 Source:82.56.23.64 Destination:192.168.2.100 Length:233 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:48 Direction: Unbekannt In:eth0 Out: Port:29974 Source:80.185.130.45 Destination:192.168.2.100 Length:329 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:40 Direction: Unbekannt In:eth0 Out: Port:29974 Source:82.56.23.64 Destination:192.168.2.100 Length:316 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:40 Direction: Unbekannt In:eth0 Out: Port:29974 Source:87.194.34.187 Destination:192.168.2.100 Length:251 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:39 Direction: Unbekannt In:eth0 Out: Port:29974 Source:150.108.235.69 Destination:192.168.2.100 Length:330 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:37 Direction: Unbekannt In:eth0 Out: Port:29974 Source:92.0.28.53 Destination:192.168.2.100 Length:296 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:26 Direction: Unbekannt In:eth0 Out: Port:29974 Source:80.185.130.45 Destination:192.168.2.100 Length:331 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:17 Direction: Unbekannt In:eth0 Out: Port:29974 Source:150.108.235.69 Destination:192.168.2.100 Length:261 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:16 Direction: Unbekannt In:eth0 Out: Port:29974 Source:82.56.23.64 Destination:192.168.2.100 Length:287 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:13 Direction: Unbekannt In:eth0 Out: Port:29974 Source:87.194.34.187 Destination:192.168.2.100 Length:261 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:11 Direction: Unbekannt In:eth0 Out: Port:29974 Source:92.0.28.53 Destination:192.168.2.100 Length:239 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:03 Direction: Unbekannt In:eth0 Out: Port:29974 Source:80.185.130.45 Destination:192.168.2.100 Length:254 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:51:02 Direction: Unbekannt In:eth0 Out: Port:29974 Source:69.170.197.207 Destination:192.168.2.100 Length:331 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:51 Direction: Unbekannt In:eth0 Out: Port:29974 Source:150.108.235.69 Destination:192.168.2.100 Length:306 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:50 Direction: Unbekannt In:eth0 Out: Port:29974 Source:82.56.23.64 Destination:192.168.2.100 Length:314 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:45 Direction: Unbekannt In:eth0 Out: Port:29974 Source:92.0.28.53 Destination:192.168.2.100 Length:268 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:44 Direction: Unbekannt In:eth0 Out: Port:29974 Source:87.194.34.187 Destination:192.168.2.100 Length:273 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:43 Direction: Unbekannt In:eth0 Out: Port:29974 Source:80.185.130.45 Destination:192.168.2.100 Length:233 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:31 Direction: Unbekannt In:eth0 Out: Port:29974 Source:84.194.255.233 Destination:192.168.2.100 Length:272 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:25 Direction: Unbekannt In:eth0 Out: Port:29974 Source:92.0.28.53 Destination:192.168.2.100 Length:283 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:24 Direction: Unbekannt In:eth0 Out: Port:29974 Source:150.108.235.69 Destination:192.168.2.100 Length:293 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:24 Direction: Unbekannt In:eth0 Out: Port:29974 Source:79.101.248.68 Destination:192.168.2.100 Length:303 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:21 Direction: Unbekannt In:eth0 Out: Port:29974 Source:80.185.130.45 Destination:192.168.2.100 Length:288 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:21 Direction: Unbekannt In:eth0 Out: Port:29974 Source:82.56.23.64 Destination:192.168.2.100 Length:250 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:19 Direction: Unbekannt In:eth0 Out: Port:29974 Source:87.194.34.187 Destination:192.168.2.100 Length:273 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:09 Direction: Unbekannt In:eth0 Out: Port:29974 Source:84.194.255.233 Destination:192.168.2.100 Length:269 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:05 Direction: Unbekannt In:eth0 Out: Port:29974 Source:92.0.28.53 Destination:192.168.2.100 Length:330 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:04 Direction: Unbekannt In:eth0 Out: Port:29974 Source:150.108.235.69 Destination:192.168.2.100 Length:256 TOS:0x00 Protocol:UDP Service:Unbekannt
Time:Jan 9 21:50:02 Direction: Unbekannt In:eth0 Out: Port:29974 Source:79.101.248.68 Destination:192.168.2.100 Length:330 TOS:0x00 Protocol:UDP Service:Unbekannt


Hoffe jemand weiß bescheid bzw. kann Entwarnung geben.

LG,
Rian

10 Antworten

0 Punkte
Beantwortet von
OMG

naja portscan ist ganz normal , aber -> KAUF DIR EINEN ROUTER
0 Punkte
Beantwortet von supermax Experte (4.8k Punkte)
Wenn du eine dynamische IP-Adresse hast, hatte eventuell jemand der diese Adresse vor dir zugewiesen hatte einen P2P-Client laufen. Da sich solche Programme nirgendwo zentral "abmelden" wenn sie offline gehen, bleibt die betreffende IP noch eine Zeitlang als möglicher Tauschpartner bei anderen Clients gespeichert.

Siehe z.B. auch diesen Thread im Ubuntu-Forum (englisch)
0 Punkte
Beantwortet von tuxfreund Mitglied (373 Punkte)
0 Punkte
Beantwortet von tuxfreund Mitglied (373 Punkte)
ups, ich war wohl zu langsam
0 Punkte
Beantwortet von
OMG

naja portscan ist ganz normal , aber -> KAUF DIR EINEN ROUTER


ich hätte

192.168.2.100


jetzt glatt für eine dem vorhandenen Router (vermutlich Speedport) zugeordnete LAN-IP gehalten. ;-)

Gott zum Gruße
0 Punkte
Beantwortet von kjg17 Profi (34.4k Punkte)
Moin,

87.194.32.0 - 87.194.39.255 - netname: AVATAR-GB - descr: London city residential static 2 service - country: GB
150.0.0.0 - 150.255.255.255 - netname: EU-ZZ-150 - descr: Various Registries - country: EU
92.0.0.0 - 92.15.255.255 - netname: CPWBBSERV-NET - descr: Carphone Warehouse Broadband Services - country: GB
82.56.0.0 - 82.59.255.255 - netname: TELECOM-ADSL-6 - descr: Telecom Italia S.p.A. TIN EASY LITE - country: IT
80.185.60.0 - 80.185.255.255 - netname: FR-MOSELLE-TELECOM - descr: Dynamic Pools - country: FR
79.101.128.0 - 79.101.255.255 - netname: TELEKOM-BB-NET - descr: TELEKOM SRBIJA, ADSL users - country: CS

Das sind alles von ISPs in Großbritanien, Italien, Frankreich, Serbien und noch irgendwo in der EU vergebene IPs, hast du irgendwas mit Filesharing laufen?

Gruß
Kalle
0 Punkte
Beantwortet von
Hallo,

>Destination:192.168.2.100

das ist die IP deines Routers. Dort werden die Anfragen verworfen wenn der Port 29974 nicht offen ist.

Gruß, sadf
0 Punkte
Beantwortet von massaraksch Experte (3.1k Punkte)
Dort werden die Anfragen verworfen wenn der Port 29974 nicht offen ist.

Hmm, er sieht sie ja im Firestarter-Protokoll auf seinem Ubuntu... Also scheint wohl der Router sehr komisch (absichtlich?) konfiguriert, wenn er sie durchläßt.

Oder es sind Antworten auf die von einem Programm initiierten Anfragen (die der Router natürlich immer durchläßt).

mfg, Massaraksch
0 Punkte
Beantwortet von meldrian Mitglied (421 Punkte)
Hallo nochmal,

ich hatte kein Filesharing Zeugs offen, daher auch meine Verwunderung. Ich hatte meinen Router zwischendurch kurz 5 Minuten ausgeschaltet nur um beim anschalten erneut diese Anfragen zu bekommen.
Ich nehme also mittlerweile selbst an irgendwas auf meiner Kiste meldet sich selbstständig im WWW an und daraus resultieren dann die Anfragen auf diesen Port.
Auf meinem Router, wahrhaftig ein Speedport, sind keinerlei Portweiterleitungen geschaltet. Auch Pass Trough oder PNP sind deaktiviert.

Mittlerweile, also einen Tag danach, ist alles ruhig. Das letzte Protokollierte Ereignis fand gestern um 22:35 statt.
0 Punkte
Beantwortet von
Hallo,

>Hmm, er sieht sie ja im Firestarter-Protokoll auf seinem Ubuntu... Also scheint wohl der Router sehr komisch (absichtlich?) konfiguriert, wenn er sie durchläßt.

Da ist was dran! Habe mal bei meiner Ubuntu-Installation (Version8.10) jetzt den Firestarter installiert. Ich sehe derartige Hits aber bei mir nicht.

Gruß, sadf
...