azidG Skrevet 21. juni 2004 Del Skrevet 21. juni 2004 (endret) Hei, Har de siste par dagene oppdaget en mengde innkommende connections/port scans på TCP 445 og 135 hovedsakelig. Dette ser jeg i loggen til routeren. "Angrepene" kommer fra en mengde forskjellige IP-adresser, og er ikke dette noe som kan minnne om et DDoS-angrep? Her er et utdrag av loggen: 21. juni 2004 19:50:02 Unrecognized access from 80.212.204.226:2600 to TCP port 445 21. juni 2004 19:50:05 Unrecognized access from 80.212.204.226:2600 to TCP port 445 21. juni 2004 19:50:07 Unrecognized access from 80.212.157.47:3787 to TCP port 135 21. juni 2004 19:50:10 Unrecognized access from 80.212.157.47:3787 to TCP port 135 21. juni 2004 19:50:29 Unrecognized access from 80.212.191.129:3240 to TCP port 135 21. juni 2004 19:50:31 Unrecognized access from 80.212.206.133:1025 to UDP port 137 21. juni 2004 19:50:32 Unrecognized access from 80.212.191.129:3240 to TCP port 135 21. juni 2004 19:50:37 Unrecognized access from 218.109.181.254:3190 to TCP port 445 21. juni 2004 19:50:40 Unrecognized access from 218.109.181.254:3190 to TCP port 445 21. juni 2004 19:50:46 Unrecognized access from 218.109.181.254:3190 to TCP port 445 (Slik fortsetter det kontinuerlig så lenge routeren er tilkoblet ADSL modemet) Er dette noe jeg kan gjøre noe med? Nå stoppes jo alle pakkene i routeren, så på den måten påvirkes ikke maskinen min, men båndbredden kan vel kanskje svekkes på grunn av dette? Har kjørt både SpyBot og Norton AV2004, så det skal ikke ligge noe virus/trojaner på maskinen min. Det merkelige er at dette fortsetter selv etter at jeg har fått ny IP-adresse fra Telenor (dynamisk). Må jo være et eller annet som sender data fra mitt nettverk, eller tar jeg feil? Håper på svar! Mvh AzidG Endret 21. juni 2004 av azidG Lenke til kommentar
agvg Skrevet 21. juni 2004 Del Skrevet 21. juni 2004 Hei, Har de siste par dagene oppdaget en mengde innkommende connections/port scans på TCP 445 og 135 hovedsakelig. 445 er vel en av de porten en haug med blaster-lingnende virus bruker for og spre seg så det er neppe annet enn infiserte maskiner som prøver seg og det er lite og bry seg om. Lenke til kommentar
azidG Skrevet 21. juni 2004 Forfatter Del Skrevet 21. juni 2004 Hei, Har de siste par dagene oppdaget en mengde innkommende connections/port scans på TCP 445 og 135 hovedsakelig. 445 er vel en av de porten en haug med blaster-lingnende virus bruker for og spre seg så det er neppe annet enn infiserte maskiner som prøver seg og det er lite og bry seg om. OK, men kan ikke dette påvirke båndbredden min noe? Kan ikke huske det har vært slik tidligere, og nå plutselig får jeg en hel haug av forskjellige maskiner som forsøker å koble til meg gjennom denne porten - HELE tiden. Er dette normalt? Lenke til kommentar
pbns1979 Skrevet 21. juni 2004 Del Skrevet 21. juni 2004 Port 445 brukes av Windows for deling av filer. Lenke til kommentar
pett Skrevet 21. juni 2004 Del Skrevet 21. juni 2004 Hei, Har de siste par dagene oppdaget en mengde innkommende connections/port scans på TCP 445 og 135 hovedsakelig. 445 er vel en av de porten en haug med blaster-lingnende virus bruker for og spre seg så det er neppe annet enn infiserte maskiner som prøver seg og det er lite og bry seg om. OK, men kan ikke dette påvirke båndbredden min noe? Kan ikke huske det har vært slik tidligere, og nå plutselig får jeg en hel haug av forskjellige maskiner som forsøker å koble til meg gjennom denne porten - HELE tiden. Er dette normalt? Blokker port 445 i ruteren din så slipper du å forholde deg til det. Lenke til kommentar
azidG Skrevet 21. juni 2004 Forfatter Del Skrevet 21. juni 2004 Port 445 brukes av Windows for deling av filer. Ja, jeg vet at Windows bruker port 445 for SMB over TCP og 135 for RPC, men spørsmålet mitt er hvorfor nå plutselig en hel del maskiner kontinuerlig forsøker å sende data til meg på disse portene.. Er det noe som skyldes meg (mitt nettverk/maskin), eller er det vanlig å oppleve sånne port-scans? Lenke til kommentar
azidG Skrevet 21. juni 2004 Forfatter Del Skrevet 21. juni 2004 Hei, Har de siste par dagene oppdaget en mengde innkommende connections/port scans på TCP 445 og 135 hovedsakelig. 445 er vel en av de porten en haug med blaster-lingnende virus bruker for og spre seg så det er neppe annet enn infiserte maskiner som prøver seg og det er lite og bry seg om. OK, men kan ikke dette påvirke båndbredden min noe? Kan ikke huske det har vært slik tidligere, og nå plutselig får jeg en hel haug av forskjellige maskiner som forsøker å koble til meg gjennom denne porten - HELE tiden. Er dette normalt? Blokker port 445 i ruteren din så slipper du å forholde deg til det. Jada, pakkene blokkeres i routeren, men lurte bare på om det allikevel har noe å si, eller om dette er vanlig Lenke til kommentar
pett Skrevet 21. juni 2004 Del Skrevet 21. juni 2004 Ja, jeg vet at Windows bruker port 445 for SMB over TCP og 135 for RPC, men spørsmålet mitt er hvorfor nå plutselig en hel del maskiner kontinuerlig forsøker å sende data til meg på disse portene.. Er det noe som skyldes meg (mitt nettverk/maskin), eller er det vanlig å oppleve sånne port-scans? Infiserte maskiner prøver å spre seg til tilfeldig ip'er. Antallet infiserte maskiner har vel gått opp i det siste, så derfor merker du det. Hvis du ser flere "angrep" fra samme ip kan det hende at ruteren din ikke dropper pakker du ikke vil ha, men rejecter dem istedet (les: svarer "nei takk" istedet for å late som det ikke finnes noen maskin på ipen din og ikke svare). Aner ikke om det er tilfelle, men virusene kan merke seg om det er en addresse som er oppe istedet for ikke i bruk og pepre hardere på f.eks det subnettet.... hvem vet... umulig å si noe spesifikt uten å sitte på pcen din, og det gjør jeg jo ikke.... Lenke til kommentar
azidG Skrevet 21. juni 2004 Forfatter Del Skrevet 21. juni 2004 (endret) Infiserte maskiner prøver å spre seg til tilfeldig ip'er. Antallet infiserte maskiner har vel gått opp i det siste, så derfor merker du det. Hvis du ser flere "angrep" fra samme ip kan det hende at ruteren din ikke dropper pakker du ikke vil ha, men rejecter dem istedet (les: svarer "nei takk" istedet for å late som det ikke finnes noen maskin på ipen din og ikke svare). Aner ikke om det er tilfelle, men virusene kan merke seg om det er en addresse som er oppe istedet for ikke i bruk og pepre hardere på f.eks det subnettet.... hvem vet... umulig å si noe spesifikt uten å sitte på pcen din, og det gjør jeg jo ikke.... Hmm.. Det hørtes logisk ut. Som du ser fra loggen (første innlegg), blokkerer routeren flere ganger fra samme IP. Er dette en innstilling man kan gjøre i routeren, om den skal droppe eller rejecte uønskede pakker mener jeg? Evt. kan dette gjøres i ADSL-modemet (som har innebygd router), eller må det gjøres i routeren. ADSL-modemet er SpeedTouch 510i fra Telenor og routeren D-Link DI-604 Endret 21. juni 2004 av azidG Lenke til kommentar
pett Skrevet 21. juni 2004 Del Skrevet 21. juni 2004 Hmm.. Det hørtes logisk ut. Som du ser fra loggen (første innlegg), blokkerer routeren flere ganger fra samme IP. Er dette en innstilling man kan gjøre i routeren, om den skal droppe eller rejecte uønskede pakker mener jeg? Evt. kan dette gjøres i ADSL-modemet (som har innebygd router), eller må det gjøres i routeren. ADSL-modemet er SpeedTouch 510i fra Telenor og routeren D-Link DI-604 Med ruteren mente jeg enten egentlig adsl-modemet, men det går fint an å droppe de et hakk innenfor og på en vanlig ruter, bare de har blitt forwardet fra den første og ikke rejecta der... Men sats på å gjøre det i adsl-modemet, så sparer du deg selv for endel bry.. du må vel telnette inn osv, du finner sikkert instrukser på kundesidene til ISP'en din... Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå