Portscan attack fra bluecom

[Chris_lox]

Heisann!

 

Har endelig fått internetten fra bluecom, men noe som irriterer meg veldig er at de port scanner minst 20 ganger i timen! Jeg bruker sygate personal firewall så da kommer det en melding opp om portscan attack. Hvorfor gjør de dette? Og hva er portscanning?

[agvg]

Det er neppe Bluecom som gjør dette men det er en av tingene du blir utsatt for så fort du går online. Det en eller annen ute i den store verden som scanner etter porter hvor det kjøres tjenester antagelig i ett håp om at eventuelle tjenester kan utnyttes.

[Chris_lox]

backtracer og kommer tilbake til local host : bluecom hver eneste gang! ble portscannet et par ganger i måneden når jeg hadde telenor. Nå er det over 19 ganger på 12 timer. Alltid samme ip! Kan jeg på noen måte blocke portscanning fra bluecom?

[BlackH]

Er vel akkurat det sygate firewall'n gjør... blokker den

[iChristian]

Eventuelt hvis det er så plagsomt så kan du jo sette opp en hardwarebasert firewall.

Men den vil jo ikke da gjøre noe..

Endret 25. juli 2006 av Lomz

[Chris_lox]

har ikke lyst til å bruke penger fordi bluecom skaper problemer (ikke første gang de gjør det!) Er utrolig irriterende den medlingen som kommer opp!

[r_k]

Kan ikke se at det er Bluecom som lager problemer da.

Det er jo ikke akkurat deres skyld at du blir portscanna...

 

Kan du ikke sette opp sygate til å bare droppe de pakken da?

Bruker ikke den firewallen selv er litt på tynn is der...

[Chris_lox]

hmm.. merkelig at det er samme ip og mac adresse hver gang! Står bluecom når jeg backtracer. Som sagt hadde jeg aldri dette problemet med telenor!

Prøvd å få til det du sier, men da funker ikke internett lengre

[iChristian]

Ringe Bluecom og spørre om det er en IP de pleier å bruke eller om de pleier å portscanne kundene såpass ofte?

[Ashmantle]

Har opplevd ganske ofte at Sygate personal firewall feilmelder legitim nettverks trafikk som portscanning og angrep.

Kan være keep-alive, ping, whatever fra Bluecom, og Sygate tror det er farlig.

Spør Bluecom hva slags trafikk det er på linjen istedet for å bli paranoid av alle svarene på dette forumet

[Chris_lox]

Får gjøre det. Begynner å bli temmelig lei alt tullet fra bluecom nå! Anbefaler alle å holde seg unna dette selskapet!

 

Hvis noen vet hvordan man kan blokkere dette i sygate firewall hadde det vært fint

[-ɐMoԀ-]

hehe egentlig litt artig post, du beskylder BC for noe du ikke vet hva er engang, en annen ting, du sier selv at det står localhost, da kan jo alt tyde på at det er den egen feil, (localhost er din egen pc/ip)

(Spyware/virus/annen driiiit på pcen)

 

Tilslutt hvordan man blokkerer dette i sygate, trenger du ikke og tenke på det er er nettop det den gjør, men men GL bytt ISP

Endret 26. juli 2006 av Powerpc

[PerB]

Du får oppgitt MAC-adresse? Det ville du ikke fått om den hadde kommet utenfra. Sjekk hvilket av ditt utstyr som har samme MAC-adresse.

[ShadowMaster]

Høres nesten ut som om du har en maskin som er kompromitert med trojaner/orm/virus evt en annen maskin på nettverket ditt som er det som driver og kjører portscans etter ordre fra en botmester eller lignende.

 

Som nevnt ovenfor så skal du ikke få noen MAC addresse om det kommer fra noen på utsiden av ditt eget nettverk.

[john.einar]

Har selv bluecom og måten bluecom gir meg linje på er å bare ha et modem som er transparent og jeg sitter på et /20 nett og dermed ser jeg mac til alle andre bluecom kunder som er på samme /20 nett som sender meg data.

[Killer_DT]

Det er garantert ikke BC som portscanner.

 

Hvis du er så sikker på at det ikke er en maskin i ditt eget nett så post IPen det scannes fra her da, så skal vi finne ut at det ikke er BC som portscanner deg.

 

Har BC selv og er forsåvidt fornøyd. (bortsett fra fakturaavd. deres!)

-dat

[Glenn]

Om du ikke tåler portscan whatsoever, bør du trekke ut TP-kabelen. Dette er helt normalt at man blir portscanna. Er maskiner (zombies) døgnet rundt som portscanner alle IP-adressene i verden.

 

BlueCom portscanner deg ikke, for å ha det sagt.

Endret 26. juli 2006 av MrGlenn

[Wraith]

Det finnes jo mange IP-ranges, og noen scannes/angripes oftere enn andre. Derfor kan aktivitetsnivået forandre seg mye når man bytter ISP eller bare får ny IP. Keepalives ble nevnt i et annet svar her, og det kan være en god forklaring. Når en maskin pinges hender det at disse blir sendt på porter som kommer rett etterhverandre på din maskin, noe som visse paranoide firewaller oppdager som portscans.

 

Står det noe annet enn bluecom på adressa som "angriper" deg, eller står det bare bluecom.no. Hvis det står noe annet, hva står det så der? Det hadde også vært interessant å se hvilke porter som blir scannet, det står vel sannsynligvis inne på loggene.

 

Hvis det er en annen av bluecoms kunder kan du forhåpentligvis kontakte bluecom og få dem til å stoppe det, hvis det ikke er det er det ingenting du kan gjøre med det. Dette er noe alle på nettet må leve med, og det enkleste er bare å skaffe seg en hardwarefirewall/router som tar seg av det.

[Chris_lox]

Står på toppen at det er bluecom.no, og masse ip'er nedover. Scanner mange forskjellige porter! Skal jeg bare ignorere dette problemet?

 

Takk for mange flotte svar

 

Edit: Det med local host, sjekka opp det og bare jeg som har "blingsa", er remote host. Ip'en på de siste portscannsa er : 221.203.145.74

er alltid samme remote mac, men det er vel fordi trafficen er porta gjennom bluecom?

Endret 26. juli 2006 av Chris_LoX

[john.einar]

traceroute to 221.203.145.74 (221.203.145.74), 30 hops max, 40 byte packets
1  cC1476801.adsl.catch.no (193.71.104.1)  32.488 ms  29.302 ms  30.473 ms
2  ge-1-0-0-10.cr5.trds.no.catchbone.net (193.75.3.213)  95.527 ms  28.571 ms  28.530 ms
3  * c2488-so-0-3-0.cr1.oea19.catchbone.net (193.75.3.100)  36.695 ms  36.840 ms
4  c10G-ge-1-1-0.br1.oea19.no.catchbone.net (193.75.1.74)  36.484 ms  37.147 ms  35.915 ms
5  oso-b1-geth5-3.telia.net (213.248.78.93)  36.211 ms  36.899 ms  35.897 ms
6  kbn-bb1-link.telia.net (80.91.249.46)  43.322 ms  45.582 ms  44.016 ms
7  nyk-bb1-pos0-1-0.telia.net (213.248.64.22)  128.625 ms  129.571 ms  130.029 ms
8  sjo-bb1-pos2-0-0.telia.net (213.248.80.1)  197.264 ms  190.625 ms  190.881 ms
9  china-network-112129-sjo-bb1.telia.net (213.248.86.42)  223.114 ms  226.840 ms  226.056 ms
10  219.158.25.17 (219.158.25.17)  502.585 ms  506.140 ms  500.040 ms
11  219.158.3.137 (219.158.3.137)  493.719 ms  482.312 ms  465.621 ms
12  * * 219.158.8.242 (219.158.8.242)  685.861 ms
13  218.61.255.198 (218.61.255.198)  692.496 ms *  709.739 ms
14  218.61.255.178 (218.61.255.178)  683.205 ms  830.025 ms  735.576 ms
15  218.61.255.230 (218.61.255.230)  724.282 ms  727.928 ms  727.508 ms
16  218.61.254.214 (218.61.254.214)  717.656 ms *  726.279 ms
17  60.18.193.98 (60.18.193.98)  610.945 ms  612.746 ms  616.824 ms
18  221.203.145.74 (221.203.145.74)  692.567 ms *  694.466 ms

 

Som du ser over skannes du fra Kina, ikke av Bluecom eller en kunde hos Bluecom.

Tror du må lese litt nøyere hva du får rapportert.