Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall blockt mir unbekannt Ports

Frage Sicherheit Firewall

Mitglied: jenni

jenni (Level 1) - Jetzt verbinden

27.04.2011, aktualisiert 09:00 Uhr, 7078 Aufrufe, 10 Kommentare

Moin @ All!

Ich habe seit einiger Zeit einige Anfragen von IP-Adressen mit mir unbekannten Ports.
Die Firewall macht was sie soll und blockt diese.
Trotzdem möchte ich gerne wissen für was diese Ports stehen.

hier ein Auszug aus dem Log.

Ziel ist jedesmal das OWA meines Exchangeserver
f3c36e844404b6c3c0d5ff81332661bd - Klicke auf das Bild, um es zu vergrößern

gruß Jens
Mitglied: macowear
27.04.2011 um 09:13 Uhr
Vielleicht hilft dir diese Liste weiter:
http://www.iana.org/assignments/port-numbers
Bitte warten ..
Mitglied: jenni
27.04.2011 um 09:19 Uhr
Danke dir,

aber die habe ich schon durchgesehen, leider ohne erfolg.
das war das Erste was ich gemacht habe.

gruß Jens
Bitte warten ..
Mitglied: Nagus
27.04.2011 um 09:36 Uhr
Moin,
vermutlich versucht jemand einen Port-Scan bei dir, bzw. sucht nach Lücken ...

Mir ist auch nicht ganz klar was Du eigentlich wissen willst: es können sich viel Applikationen oder Dienste hinter verschiedenen Ports verstecken. Bspw. ist das Webinterface unsers Mailservers intern über Port 80 zu erreichen, aber nach "draußen" sieht das ganz anders aus ...

Gruß
Nagus
Bitte warten ..
Mitglied: jenni
27.04.2011 um 09:42 Uhr
Danke für deine Antwort.

es ging mir darum ob jemand weiss wozu die Ports gehören bzw. welche Applikation dahinter steckt, weil das Ziel jedesmal das OWA war.
Bitte warten ..
Mitglied: Nagus
27.04.2011 um 10:52 Uhr
Zitat von jenni:
Danke für deine Antwort.

es ging mir darum ob jemand weiss wozu die Ports gehören bzw. welche Applikation dahinter steckt, weil das Ziel jedesmal das
OWA war.

Naja - der wird die IP Deines OWA "mitbekommen" haben und darauf den Scan machen um raus zu bekommen was sich dahinter verbirgt um darauf einen möglichen Angriff auszuprobieren.
Bitte warten ..
Mitglied: brammer
27.04.2011 um 10:52 Uhr
Hallo,

da eigentlich nur die ersten 1024 als sogenannte "Well Known" Ports gelten, was bedeuten soll das hinter einem der 1024 Ports immer dieselbe Standardanwendung lauschen sollte,
und alle Ports oberhalb dieser Range nicht fest zugeordnet sind wird eine sichere Zuordnung schwierig.

Was da an Ports im Screenshot aber zulesen ist sind typische P2P Ports die für EMule und konsorten verwendet werden.
Das ist anscheinend an einfacher netscan über alle Ports, frei nach dem Motto "mal schauen wer antwortet..."

brammer
Bitte warten ..
Mitglied: sk
27.04.2011 um 11:13 Uhr
Zitat von jenni:
es ging mir darum ob jemand weiss wozu die Ports gehören bzw. welche Applikation dahinter steckt, weil das Ziel jedesmal das OWA war.

Ich nehme an, es geht Dir um die Source-Ports, denn die Destination-Spalte ist im Log unkenntlich gemacht.
Bei HTTP/S-Zugriffen (hier OWA) sind die Source-Ports (wie bei fast allen Protokollen) dynamisch. Für jede Session wird zwecks Unterscheidbarkeit wahlfrei ein anderer unprivilegierter Port größer 1023 benutzt. Je nach OS und Applikation mag dahinter auch mal ein wiedererkennbares Muster stecken, so dass man daraus mittels entsprechender Werkzeuge mit einiger Wahrscheinlichkeit auf das verwendete OS oder gar auf die Applikation schließen könnte (sog. Fingerprinting). Dass dafür aber das Muster der verwendeten Source-Ports genügt, halte ich für sehr unwahrscheinlich (zumal dies auch davon abhängig ist, welche Sockets gerade von anderen Applikationen benutzt werden). Zumindest beim OS-Fingerprinting werden jedenfalls ganz andere Kriterien herangezogen. Siehe z.B. http://www.computec.ch/_files/downloads/dokumente/auswertung/erkennen_v ...

Gruß
sk
Bitte warten ..
Mitglied: Ausserwoeger
27.04.2011 um 15:25 Uhr
Falls es dich intressiert was er genau macht meld dich bei Vodafone D2 Germany Gmbh sag ihnen das einer ihrer Kunden einen Portscan auf deine Firewall durchführt und das sie das unterbinden sollen oder die daten des kunden der zu der Zeit wo der Portscan ausgeführt wurde die IP 109.40.182.61 hatte herausgeben sollen. !

Komisch ist nur das die 80.187 usw. von T-Mobile ist und die 2.206 usw. bzw.die 109.40 von Vodafone.

Kannst ja mal bei vodafone anfragen. Gibt ja genug kontakte zu den IPs

person: Christoph Leifeld
address: Vodafone D2 GmbH
address: Am Seestern 5
address: D-40547 Duesseldorf
address: Germany
phone: +49 211 533 3008 begin_of_the_skype_highlighting              +49 211 533 3008      end_of_the_skype_highlighting begin_of_the_skype_highlighting              +49 211 533 3008      end_of_the_skype_highlighting
e-mail:
nic-hdl: LEIF-RIPE
mnt-by: MMO-MNT
source: RIPE # Filtered

person: Herwarth Krey
address: Vodafone D2 GmbH
address: Am Seestern 5
address: D-40547 Duesseldorf
address: Germany
phone: +49 211 533 2224
e-mail:
nic-hdl: KRHE1-RIPE
mnt-by: MMO-MNT
source: RIPE # Filtered

person: Stephan Braehler
address: Vodafone D2 GmbH
address: Am Seestern 5
address: D- 40547 Duesseldorf
phone: +49 211 533 2224

LG Andy
Bitte warten ..
Mitglied: sk
27.04.2011 um 17:29 Uhr
Zitat von Ausserwoeger:
Falls es dich intressiert was er genau macht meld dich bei Vodafone D2 Germany Gmbh sag ihnen das einer ihrer Kunden einen
Portscan auf deine Firewall durchführt und das sie das unterbinden sollen oder die daten des kunden der zu der Zeit wo der
Portscan ausgeführt wurde die IP 109.40.182.61 hatte herausgeben sollen. !

Zur allgemeinen Belustigung der dortigen Supportmitarbeiter.... *kopfschüttel*
Bitte warten ..
Mitglied: Ausserwoeger
27.04.2011 um 18:22 Uhr
Genau einfach nur um lestig zu sein !!

Was zu lachen ist doch auch was schönes !

LG Andy
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Windows 8 Firewall blockt offene Ports
Frage von BlongmonWindows Netzwerk6 Kommentare

Einen schönen guten Morgen :) Die Konstellation beim Kunden sieht wie folgt aus: Windows 8 Clients, ein Windows 2003 ...

Firewall
Firewall blockt Anfragen
Frage von Jan1986Firewall4 Kommentare

Hallo zusammen, ich hab mir anzeigen lassen welche IP-Adressen unsere Firewall blockt und es sind schon mehrere Anfragen jeden ...

Linux Netzwerk
Unbekannter Traffic auf Port 55861
Frage von mexxLinux Netzwerk5 Kommentare

Hallo, hin und wieder mache ich ein TCPDUMP auf meinen Linuxserver mit fester IP und sehe sehr viel Traffic ...

Netzwerke
Zywall Blockt Traffic von ASA Firewall
gelöst Frage von DoktorAerztNetzwerke7 Kommentare

Hallo Zusammen, wir sind aktuell dabei auf eine Cisco ASA 5516 umzusteigen. Unsere alte Firewall die ZyWALL USG 200 ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Necur-Botnet soll Erpressungstrojaner Scarab massenhaft verbreiten

Information von BassFishFox vor 42 MinutenErkennung und -Abwehr

12,5 Millionen Spam-Mails aus einem Bot-Netz mit 6 Millionen Computern? Eigentlich eine schwache Leistung. Die Erpresser setzen dabei auf ...

Microsoft

Nadeldrucker-Problem unter Windows - Microsoft liefert Updates

Information von BassFishFox vor 1 StundeMicrosoft

Hat ja nicht lange gedauert. Nachdem die November-Updates für Windows 7, 8.1 und 10 zahlreiche Nadeldrucker lahmgelegt hatten, stellt ...

Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 8 StundenLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Heiß diskutierte Inhalte
Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux13 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Windows 10
Alle Programme mit bestimmtem Namen automatisch (per GPO) deinstallieren
gelöst Frage von lordofremixesWindows 1012 Kommentare

Hallo zusammen, gibt es eine Möglichkeit, alle Programme beginnend mit z.B. "Dell" im Namen per Script und somit per ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...