Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ports scan TCP - Beachtenswert oder nicht?

Mitglied: ElSancho

ElSancho (Level 1) - Jetzt verbinden

20.02.2006, aktualisiert 19:48 Uhr, 4919 Aufrufe, 9 Kommentare

Hallo zusammen,

eines gleich vorneweg - habe mich mit der Materie noch nicht weiter befasst und bin dementsprechend ahnungslos.
Habe ein Netzwerk (domäne) mit Anbindung ans Internet über einen Zyxel DSL Router. Dieser sendet mir täglich ein Protokoll zu bestimmten Ports Scans die stattgefunden haben. Dies sieht dann immer so oder ähnlich aus:

Source IP 192.168.XXX.XX:2098 Destination IP 204.71.130.72:80 ATTACK

Irgendwie kommt das ja aus meinem Netz (Source IP). Aber in wieweit ist das eine Attacke oder wie kann ich der Sache auf den Grund gehen?

Danke für Tipps & Gruß

ElSancho
Mitglied: 10545
20.02.2006 um 15:19 Uhr
Moin,

die IP 204.71.130.72 gehört "Procter & Gamble" und weist auf PGcareers.com.
Port 80 ist der übliche HTTP-Port.

Warum da ein "Portscan" stattfindet (zumal er aus Deinem Netz HERAUS geht) würde ich ergründen!

Allerdings sollte man auch vorsichtig sein; man weiss ja nicht, ab wann für Zyxel ein Portscan stattfindet ...(Definitionsfrage).

Gruß, Rene
Bitte warten ..
Mitglied: cykes
20.02.2006 um 15:32 Uhr
Das hat wohl der Chef bestimmt, damit keiner der Mitarbeiter von P&G abgeworben wird

Aber ich würde auch den Rechner, von dem das ausgeht eventuell mal mit einem Virenscanner checken, falls nicht sowieso installiert.
Bitte warten ..
Mitglied: ElSancho
20.02.2006 um 15:47 Uhr
Erst mal danke für die schnellen Antworten!

Virenscanner sind auf allen Clients installiert und auf dem neuesten Stand. Öhmm, wie finde ich denn herraus welche IP auf wen weist? Mit der Whois - Abfrage z.B bei ripe.net funktioniert das irgendwie nicht...

Gibt es denn Ports die man "generell" sperren sollte ?

Gruß
Bitte warten ..
Mitglied: cykes
20.02.2006 um 15:58 Uhr
Also Port 80 solltest Du nicht sperren, das ist der HTTP Port, dann wäre kein surfen mehr
möglich.
Vielleicht ist Eure Firewall ein bischen zu empfindlich eingestellt.

Habt ihr keinen Netzwerk-Plan, wo drin steht, welcher Rechner welche IP hat?

Gruss

cykes
Bitte warten ..
Mitglied: ElSancho
20.02.2006 um 16:10 Uhr
Doch, schon. Ich kann jede IP einem PC zuweisen. Aber da das Protokoll vom Zyxel täglich bis zu Einträge beinhaltet käme ich ja aus dem recherchieren nicht mehr raus
Interessant wäre für mich zu wissen ob das meiste davon, wovon ich ausgehe, Fehlalarme sind, und wie ich diese deuten bzw. abstellen kann.
Bitte warten ..
Mitglied: cykes
20.02.2006 um 16:13 Uhr
Wenn Du mehrere Alarme von unterschiedlichen internen (192.168.*.*) IPs hast, sind das Fehlalarme, wenn die alles als Ziel-Port Port 80 haben, würde ich zumindest sagen.
Dann würde ich die Einstellungen der Firewall mal überprüfen.
Bitte warten ..
Mitglied: 10545
20.02.2006 um 16:54 Uhr
Moin,

zuweisen. Aber da das Protokoll vom Zyxel
täglich bis zu Einträge beinhaltet
käme ich ja aus dem recherchieren nicht
mehr raus

Kannst Du das Protkoll nicht als CSV exportieren? Dann könntest Du es in Excel mit "Autofilter" komfortabel sortieren

Öhmm, wie finde ich denn herraus welche IP auf wen weist? Mit der Whois - Abfrage z.B
bei ripe.net funktioniert das irgendwie nicht...

Verstehe ich recht, Du meinst die externen IP´s? Dann gucke Dir mal diese Seite an:
<a href="http://www.dnsstuff.com/" taregt="_blank">http://www.dnsstuff.com/</a>"
Ist meine Lieblingsseite zum "schnüffeln"

Gruß, Rene
Bitte warten ..
Mitglied: ElSancho
20.02.2006 um 19:46 Uhr
Okay, habe mal einige überprüft - sind wirklich harmlos/Fehlalarme. Werde dann doch mal die Firewalleinstellungen prüfen (bzw.was da beim Zyxel so geht;)

Gruß

Wenn Du mehrere Alarme von unterschiedlichen
internen (192.168.*.*) IPs hast, sind das
Fehlalarme, wenn die alles als Ziel-Port
Port 80 haben, würde ich zumindest
sagen.
Dann würde ich die Einstellungen der
Firewall mal überprüfen.
Bitte warten ..
Mitglied: ElSancho
20.02.2006 um 19:48 Uhr
Moin,

> zuweisen. Aber da das Protokoll vom
Zyxel
> täglich bis zu Einträge
beinhaltet
> käme ich ja aus dem recherchieren
nicht
> mehr raus

Kannst Du das Protkoll nicht als CSV
exportieren? Dann könntest Du es in
Excel mit "Autofilter" komfortabel
sortieren
Stimmt - sollte ich dann mal machen


> Öhmm, wie finde ich denn herraus
welche IP auf wen weist? Mit der Whois -
Abfrage z.B
> bei ripe.net funktioniert das irgendwie
nicht...

Verstehe ich recht, Du meinst die externen
IP´s? Dann gucke Dir mal diese Seite
an:
<a
href="http://www.dnsstuff.com/"
taregt="_blank">http://www.dnsstuff.com/</a>"
Ist meine Lieblingsseite zum
"schnüffeln"

Gruß, Rene
Genau sowas habe ich gesucht. Thx
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Häufige Port Scans - normal ?
gelöst Frage von Dilbert-MDRouter & Routing8 Kommentare

Moin zusammen, Zwecks VPN-Zugriff haben wir unser "Kabelmodem*)" quasi in einen Bridge Modus gesetzt so dass der Internetverkehr von ...

LAN, WAN, Wireless

Tcp port geht nicht trotz deaktivierter FW

gelöst Frage von franksigLAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich benötige für eine Software den Port 102 auf einem Rechner ich verwende ein Tool Names Portping ...

Peripheriegeräte

Virtual Com-Port via TCP-IP

gelöst Frage von sunicsPeripheriegeräte5 Kommentare

Hallo Zusammen, Kennt Ihr zufällig eine Software für Windows oder Mac, mit welcher ich einen Virtuellen Comport erzeugen kann, ...

Server

OpenVPN Fritzbox Port weiterleitung TCP 443

Frage von D46505PlServer6 Kommentare

Hallo Zusammen, um von unterwegs auf das Netzwerk zuzugreifen, habe ich mir einen Openvpn eingerichtet auf Linuxbasis und lasse ...

Neue Wissensbeiträge
Windows Server

SBS 2011: Installation von KB4457144 schlägt beim Reboot fehl - Von Dienst gesperrte Schriftart ursächlich

Tipp von the-buccaneer vor 10 StundenWindows Server1 Kommentar

Moinsen zusammen! Das hat mich einige graue Haare gekostet: Ein SBS 2011 weigerte sich schon im August, das monatl. ...

Windows Netzwerk
Browser-Lags und IPv6
Erfahrungsbericht von NixVerstehen vor 16 StundenWindows Netzwerk1 Kommentar

Hallo zusammen, wir betreiben als kleines Speditionsunternehmen ein überschaubares Windows-Netzwerk mit Win10-Clients sowie einem Server 2016 Essentials als "eierlegende ...

Humor (lol)

Erstaunlich, Windows mit extremer Laufzeit (Server) lol

Tipp von mathu vor 19 StundenHumor (lol)5 Kommentare

Was es so alles gibt. :-)

Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 1 TagWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Heiß diskutierte Inhalte
Hyper-V
Windows Serer 2016 Standard virtualisieren
gelöst Frage von fritte87Hyper-V33 Kommentare

Hallo zusammen, ich muss für eine kleine Firma ein entsprechendes neues kleines Konzept bauen. Ich habe einen Server Standard ...

LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless24 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Windows Server
Fileserver von 2012 R2 auf 2012R2
gelöst Frage von ThabeusWindows Server23 Kommentare

Moin moin, leider war in der Vergangenheit der Fokus des Betriebs nicht auf Langfristigkeit ausgelegt. Daher stehe ich jetzt ...

Router & Routing
Größere Zahl VPN-Verbindungen mit Fritz-Box einrichten
Frage von miscmikeRouter & Routing15 Kommentare

Hallo Zusammen, ich supporte verschiedene Kunden mit bestehenden LAN-LAN-Kopplungen via FritzBox (7490, FritzOS 7.01) . Anwendungen sind z.B. Kaspersky-KSC ...