9
Ports scan TCP - Beachtenswert oder nicht?
Hallo zusammen,
eines gleich vorneweg - habe mich mit der Materie noch nicht weiter befasst und bin dementsprechend ahnungslos.
Habe ein Netzwerk (domäne) mit Anbindung ans Internet über einen Zyxel DSL Router. Dieser sendet mir täglich ein Protokoll zu bestimmten Ports Scans die stattgefunden haben. Dies sieht dann immer so oder ähnlich aus:
Source IP 192.168.XXX.XX:2098 Destination IP 204.71.130.72:80 ATTACK
Irgendwie kommt das ja aus meinem Netz (Source IP). Aber in wieweit ist das eine Attacke oder wie kann ich der Sache auf den Grund gehen?
Danke für Tipps & Gruß
ElSancho
eines gleich vorneweg - habe mich mit der Materie noch nicht weiter befasst und bin dementsprechend ahnungslos.
Habe ein Netzwerk (domäne) mit Anbindung ans Internet über einen Zyxel DSL Router. Dieser sendet mir täglich ein Protokoll zu bestimmten Ports Scans die stattgefunden haben. Dies sieht dann immer so oder ähnlich aus:
Source IP 192.168.XXX.XX:2098 Destination IP 204.71.130.72:80 ATTACK
Irgendwie kommt das ja aus meinem Netz (Source IP). Aber in wieweit ist das eine Attacke oder wie kann ich der Sache auf den Grund gehen?
Danke für Tipps & Gruß
ElSancho
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 26455
Url: https://administrator.de/contentid/26455
Printed on: April 25, 2024 at 19:04 o'clock
9 Comments
Latest comment
Moin,
die IP 204.71.130.72 gehört "Procter & Gamble" und weist auf PGcareers.com.
Port 80 ist der übliche HTTP-Port.
Warum da ein "Portscan" stattfindet (zumal er aus Deinem Netz HERAUS geht) würde ich ergründen!
Allerdings sollte man auch vorsichtig sein; man weiss ja nicht, ab wann für Zyxel ein Portscan stattfindet ...(Definitionsfrage).
Gruß, Rene
die IP 204.71.130.72 gehört "Procter & Gamble" und weist auf PGcareers.com.
Port 80 ist der übliche HTTP-Port.
Warum da ein "Portscan" stattfindet (zumal er aus Deinem Netz HERAUS geht) würde ich ergründen!
Allerdings sollte man auch vorsichtig sein; man weiss ja nicht, ab wann für Zyxel ein Portscan stattfindet ...(Definitionsfrage).
Gruß, Rene
Das hat wohl der Chef bestimmt, damit keiner der Mitarbeiter von P&G abgeworben wird 
Aber ich würde auch den Rechner, von dem das ausgeht eventuell mal mit einem Virenscanner checken, falls nicht sowieso installiert.
Aber ich würde auch den Rechner, von dem das ausgeht eventuell mal mit einem Virenscanner checken, falls nicht sowieso installiert.
Erst mal danke für die schnellen Antworten!
Virenscanner sind auf allen Clients installiert und auf dem neuesten Stand. Öhmm, wie finde ich denn herraus welche IP auf wen weist? Mit der Whois - Abfrage z.B bei ripe.net funktioniert das irgendwie nicht...
Gibt es denn Ports die man "generell" sperren sollte ?
Gruß
Virenscanner sind auf allen Clients installiert und auf dem neuesten Stand. Öhmm, wie finde ich denn herraus welche IP auf wen weist? Mit der Whois - Abfrage z.B bei ripe.net funktioniert das irgendwie nicht...
Gibt es denn Ports die man "generell" sperren sollte ?
Gruß
Also Port 80 solltest Du nicht sperren, das ist der HTTP Port, dann wäre kein surfen mehr
möglich.
Vielleicht ist Eure Firewall ein bischen zu empfindlich eingestellt.
Habt ihr keinen Netzwerk-Plan, wo drin steht, welcher Rechner welche IP hat?
Gruss
cykes
möglich.
Vielleicht ist Eure Firewall ein bischen zu empfindlich eingestellt.
Habt ihr keinen Netzwerk-Plan, wo drin steht, welcher Rechner welche IP hat?
Gruss
cykes
Doch, schon. Ich kann jede IP einem PC zuweisen. Aber da das Protokoll vom Zyxel täglich bis zu Einträge beinhaltet käme ich ja aus dem recherchieren nicht mehr raus 
Interessant wäre für mich zu wissen ob das meiste davon, wovon ich ausgehe, Fehlalarme sind, und wie ich diese deuten bzw. abstellen kann.
Interessant wäre für mich zu wissen ob das meiste davon, wovon ich ausgehe, Fehlalarme sind, und wie ich diese deuten bzw. abstellen kann.
Wenn Du mehrere Alarme von unterschiedlichen internen (192.168.*.*) IPs hast, sind das Fehlalarme, wenn die alles als Ziel-Port Port 80 haben, würde ich zumindest sagen.
Dann würde ich die Einstellungen der Firewall mal überprüfen.
Dann würde ich die Einstellungen der Firewall mal überprüfen.
Moin,
Kannst Du das Protkoll nicht als CSV exportieren? Dann könntest Du es in Excel mit "Autofilter" komfortabel sortieren
Verstehe ich recht, Du meinst die externen IP´s? Dann gucke Dir mal diese Seite an:
www.dnsstuff.com/
Ist meine Lieblingsseite zum "schnüffeln"
Gruß, Rene
zuweisen. Aber da das Protokoll vom Zyxel
täglich bis zu Einträge beinhaltet
käme ich ja aus dem recherchieren nicht
mehr raus
täglich bis zu Einträge beinhaltet
käme ich ja aus dem recherchieren nicht
mehr raus
Kannst Du das Protkoll nicht als CSV exportieren? Dann könntest Du es in Excel mit "Autofilter" komfortabel sortieren
Öhmm, wie finde ich denn herraus welche IP auf wen weist? Mit der Whois - Abfrage z.B
bei ripe.net funktioniert das irgendwie nicht...
bei ripe.net funktioniert das irgendwie nicht...
Verstehe ich recht, Du meinst die externen IP´s? Dann gucke Dir mal diese Seite an:
www.dnsstuff.com/
Ist meine Lieblingsseite zum "schnüffeln"
Gruß, Rene
Okay, habe mal einige überprüft - sind wirklich harmlos/Fehlalarme. Werde dann doch mal die Firewalleinstellungen prüfen (bzw.was da beim Zyxel so geht;)
Gruß
Gruß
Wenn Du mehrere Alarme von unterschiedlichen
internen (192.168.*.*) IPs hast, sind das
Fehlalarme, wenn die alles als Ziel-Port
Port 80 haben, würde ich zumindest
sagen.
Dann würde ich die Einstellungen der
Firewall mal überprüfen.
internen (192.168.*.*) IPs hast, sind das
Fehlalarme, wenn die alles als Ziel-Port
Port 80 haben, würde ich zumindest
sagen.
Dann würde ich die Einstellungen der
Firewall mal überprüfen.
Moin,
> zuweisen. Aber da das Protokoll vom
Zyxel
> täglich bis zu Einträge
beinhaltet
> käme ich ja aus dem recherchieren
nicht
> mehr raus
Kannst Du das Protkoll nicht als CSV
exportieren? Dann könntest Du es in
Excel mit "Autofilter" komfortabel
sortieren
Stimmt - sollte ich dann mal machen > zuweisen. Aber da das Protokoll vom
Zyxel
> täglich bis zu Einträge
beinhaltet
> käme ich ja aus dem recherchieren
nicht
> mehr raus
Kannst Du das Protkoll nicht als CSV
exportieren? Dann könntest Du es in
Excel mit "Autofilter" komfortabel
sortieren
> Öhmm, wie finde ich denn herraus
welche IP auf wen weist? Mit der Whois -
Abfrage z.B
> bei ripe.net funktioniert das irgendwie
nicht...
Verstehe ich recht, Du meinst die externen
IP´s? Dann gucke Dir mal diese Seite
an:
<a
href="http://www.dnsstuff.com/"
taregt="_blank">http://www.dnsstuff.com/</a>
Ist meine Lieblingsseite zum
"schnüffeln"
Gruß, Rene
