Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall blockt mir unbekannt Ports

Mitglied: jenni

jenni (Level 1) - Jetzt verbinden

27.04.2011, aktualisiert 09:00 Uhr, 7218 Aufrufe, 10 Kommentare

Moin @ All!

Ich habe seit einiger Zeit einige Anfragen von IP-Adressen mit mir unbekannten Ports.
Die Firewall macht was sie soll und blockt diese.
Trotzdem möchte ich gerne wissen für was diese Ports stehen.

hier ein Auszug aus dem Log.

Ziel ist jedesmal das OWA meines Exchangeserver
f3c36e844404b6c3c0d5ff81332661bd - Klicke auf das Bild, um es zu vergrößern

gruß Jens
Mitglied: macowear
27.04.2011 um 09:13 Uhr
Vielleicht hilft dir diese Liste weiter:
http://www.iana.org/assignments/port-numbers
Bitte warten ..
Mitglied: jenni
27.04.2011 um 09:19 Uhr
Danke dir,

aber die habe ich schon durchgesehen, leider ohne erfolg.
das war das Erste was ich gemacht habe.

gruß Jens
Bitte warten ..
Mitglied: Nagus
27.04.2011 um 09:36 Uhr
Moin,
vermutlich versucht jemand einen Port-Scan bei dir, bzw. sucht nach Lücken ...

Mir ist auch nicht ganz klar was Du eigentlich wissen willst: es können sich viel Applikationen oder Dienste hinter verschiedenen Ports verstecken. Bspw. ist das Webinterface unsers Mailservers intern über Port 80 zu erreichen, aber nach "draußen" sieht das ganz anders aus ...

Gruß
Nagus
Bitte warten ..
Mitglied: jenni
27.04.2011 um 09:42 Uhr
Danke für deine Antwort.

es ging mir darum ob jemand weiss wozu die Ports gehören bzw. welche Applikation dahinter steckt, weil das Ziel jedesmal das OWA war.
Bitte warten ..
Mitglied: Nagus
27.04.2011 um 10:52 Uhr
Zitat von jenni:
Danke für deine Antwort.

es ging mir darum ob jemand weiss wozu die Ports gehören bzw. welche Applikation dahinter steckt, weil das Ziel jedesmal das
OWA war.

Naja - der wird die IP Deines OWA "mitbekommen" haben und darauf den Scan machen um raus zu bekommen was sich dahinter verbirgt um darauf einen möglichen Angriff auszuprobieren.
Bitte warten ..
Mitglied: brammer
27.04.2011 um 10:52 Uhr
Hallo,

da eigentlich nur die ersten 1024 als sogenannte "Well Known" Ports gelten, was bedeuten soll das hinter einem der 1024 Ports immer dieselbe Standardanwendung lauschen sollte,
und alle Ports oberhalb dieser Range nicht fest zugeordnet sind wird eine sichere Zuordnung schwierig.

Was da an Ports im Screenshot aber zulesen ist sind typische P2P Ports die für EMule und konsorten verwendet werden.
Das ist anscheinend an einfacher netscan über alle Ports, frei nach dem Motto "mal schauen wer antwortet..."

brammer
Bitte warten ..
Mitglied: sk
27.04.2011 um 11:13 Uhr
Zitat von jenni:
es ging mir darum ob jemand weiss wozu die Ports gehören bzw. welche Applikation dahinter steckt, weil das Ziel jedesmal das OWA war.

Ich nehme an, es geht Dir um die Source-Ports, denn die Destination-Spalte ist im Log unkenntlich gemacht.
Bei HTTP/S-Zugriffen (hier OWA) sind die Source-Ports (wie bei fast allen Protokollen) dynamisch. Für jede Session wird zwecks Unterscheidbarkeit wahlfrei ein anderer unprivilegierter Port größer 1023 benutzt. Je nach OS und Applikation mag dahinter auch mal ein wiedererkennbares Muster stecken, so dass man daraus mittels entsprechender Werkzeuge mit einiger Wahrscheinlichkeit auf das verwendete OS oder gar auf die Applikation schließen könnte (sog. Fingerprinting). Dass dafür aber das Muster der verwendeten Source-Ports genügt, halte ich für sehr unwahrscheinlich (zumal dies auch davon abhängig ist, welche Sockets gerade von anderen Applikationen benutzt werden). Zumindest beim OS-Fingerprinting werden jedenfalls ganz andere Kriterien herangezogen. Siehe z.B. http://www.computec.ch/_files/downloads/dokumente/auswertung/erkennen_v ...

Gruß
sk
Bitte warten ..
Mitglied: Ausserwoeger
27.04.2011 um 15:25 Uhr
Falls es dich intressiert was er genau macht meld dich bei Vodafone D2 Germany Gmbh sag ihnen das einer ihrer Kunden einen Portscan auf deine Firewall durchführt und das sie das unterbinden sollen oder die daten des kunden der zu der Zeit wo der Portscan ausgeführt wurde die IP 109.40.182.61 hatte herausgeben sollen. !

Komisch ist nur das die 80.187 usw. von T-Mobile ist und die 2.206 usw. bzw.die 109.40 von Vodafone.

Kannst ja mal bei vodafone anfragen. Gibt ja genug kontakte zu den IPs

person: Christoph Leifeld
address: Vodafone D2 GmbH
address: Am Seestern 5
address: D-40547 Duesseldorf
address: Germany
phone: +49 211 533 3008 begin_of_the_skype_highlighting              +49 211 533 3008      end_of_the_skype_highlighting begin_of_the_skype_highlighting              +49 211 533 3008      end_of_the_skype_highlighting
e-mail:
nic-hdl: LEIF-RIPE
mnt-by: MMO-MNT
source: RIPE # Filtered

person: Herwarth Krey
address: Vodafone D2 GmbH
address: Am Seestern 5
address: D-40547 Duesseldorf
address: Germany
phone: +49 211 533 2224
e-mail:
nic-hdl: KRHE1-RIPE
mnt-by: MMO-MNT
source: RIPE # Filtered

person: Stephan Braehler
address: Vodafone D2 GmbH
address: Am Seestern 5
address: D- 40547 Duesseldorf
phone: +49 211 533 2224

LG Andy
Bitte warten ..
Mitglied: sk
27.04.2011 um 17:29 Uhr
Zitat von Ausserwoeger:
Falls es dich intressiert was er genau macht meld dich bei Vodafone D2 Germany Gmbh sag ihnen das einer ihrer Kunden einen
Portscan auf deine Firewall durchführt und das sie das unterbinden sollen oder die daten des kunden der zu der Zeit wo der
Portscan ausgeführt wurde die IP 109.40.182.61 hatte herausgeben sollen. !

Zur allgemeinen Belustigung der dortigen Supportmitarbeiter.... *kopfschüttel*
Bitte warten ..
Mitglied: Ausserwoeger
27.04.2011 um 18:22 Uhr
Genau einfach nur um lestig zu sein !!

Was zu lachen ist doch auch was schönes !

LG Andy
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Windows 8 Firewall blockt offene Ports
Frage von BlongmonWindows Netzwerk6 Kommentare

Einen schönen guten Morgen :) Die Konstellation beim Kunden sieht wie folgt aus: Windows 8 Clients, ein Windows 2003 ...

Firewall
Firewall blockt Anfragen
Frage von Jan1986Firewall4 Kommentare

Hallo zusammen, ich hab mir anzeigen lassen welche IP-Adressen unsere Firewall blockt und es sind schon mehrere Anfragen jeden ...

Linux Netzwerk
Unbekannter Traffic auf Port 55861
Frage von mexxLinux Netzwerk5 Kommentare

Hallo, hin und wieder mache ich ein TCPDUMP auf meinen Linuxserver mit fester IP und sehe sehr viel Traffic ...

Netzwerke
Zywall Blockt Traffic von ASA Firewall
gelöst Frage von DoktorAerztNetzwerke7 Kommentare

Hallo Zusammen, wir sind aktuell dabei auf eine Cisco ASA 5516 umzusteigen. Unsere alte Firewall die ZyWALL USG 200 ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 19 StundenWindows 103 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 22 StundenAdministrator.de Feedback16 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...