TCP- or UDP-based Portscan etc.

[Wombat]

Hallo an alle!

Ich habe mal wieder eine weitere Frage an Euch ....

Mein Router (Webstar 2320B) hat eine integrierte Firewall und in deren Logfile erscheinen täglich mehrmals Einträge dieser Art:

TCP- or UDP-based Portscan --> [I]Target (meine IP-Nummer + manchmal der Port)[/I] --> [I]Source (externe IP)[/I]

oder auch:

SYN Flood --> [I]Target (meine IP-Nummer + manchmal der Port)[/I] --> [I]Source (externe IP)[/I]

oder:

Illegal TCP Header --> [I]Target (meine IP-Nummer + manchmal der Port)[/I] --> [I]Source (externe IP)[/I]

Ich habe zwar schon gegoogelt, aber bei der Fülle an Informationen (die ich auch nicht immer nachvollziehen kann, da technisch nicht auf der Höhe) war es mir bisher noch nicht möglich was 'verständliches' zu finden.

Kann mir jemand sagen, ob das nun beunruhigend ist oder nicht? Wenn ich Portscan höre, dann klingt das für mich halt auch so: nach einem Portscanner (den jemand durchführt, um zu sehen, ob bei mir ein Port offen ist?), oder gibt es auch eine 'harmlose' Erklärung dafür? Bei Illegal TCP Header habe ich überhaupt keinen blassen Schimmer, was genau das sein soll und zu SYN Flood habe ich das hier gefunden: Wikipedia: SYN Flood. Gibt es auch 'harmlose' SYN Flood Attacken? Muss ich jetzt irgendetwas unternehmen?

Für Eure Meinung und Aufklärung wäre ich Euch sehr dankbar.

Viele Grüsse,
Wombat

 

[slartibartfast]

Hallo!

Scheinbar ist es mittlerweile normal, dass man im Internet immer wieder angegriffen wird.
Der "Angreifer" ist meist ein Wurm oder einer, der ganze Netzwerk-Bereiche absucht, meist auf der Suche nach ungeschützten Windows-Rechnern. Mit deinem Router bist du also eigentlich nicht gefährdet.
(Ich nehme an, du hast einen Standard-DSL-Anschluss mit dynamischer IP. Hast du einen mit fester IP, könnte es sein, dass die Angriffe direkt auf dich gerichtet sind. Hast du den - normalen, fix-IPs gibts nur gegen Aufpreis - dynamischen-IP-Anschluss, sind die Angriffe wirklich nur Zufall.)

Zu den 3 Sorten:
- Portscan:
Irgendein Script-Kiddie scant halt mal wieder einen Adressbereich von deinem Provider ab. Ist eigentlich harmlos, du hast ja ne Firewall, der findet also nix. Suchen wird er offene Windows-Kisten ohne Firewall.
- SYN Flood:
Ist eine ernsthafte Attacke, die aber bei deiner Firewall nicht zieht, sonst würde sie nix ins Logfile schreiben, sondern den Dienst verweigern... Da sie aber erkann wird, wird sie wohl geblockt.
- Illegal TCP Header:
Auch nix schlimmes, es kam einfach ein irgendwie beschädigtes Netzwerkpaket (= Irgendein Datenverkehr) an.
Der Fehlerquellen gibt es viele, von Übertragungsfehlern bis versuchten Attacken auf Windows-Rechner ist alles möglich. Wieder so einer, der eine "Attacken-Streuung" macht...
Also ist der Eintrag eigentlich nicht im Sinne von "illegal=gesetzwidrig", sondern "illegal=fehlerhaft" (ist Programmierer-Jargon) zu verstehen.

Fazit:
Nix davon gefährdet dich unmittelbar, du hast ja die Firewall, und die Einträge sind beruhigend, weil die Firewall die Angriffe ja erkannt hat.
Sie zeigen nur einmal mehr, zu was für einem unsicheren Gelände das Internet langsam verkommt...


Ich hoffe, ich hab' dir weitergeholfen. Falls irgendwas unverständlich war, einfach nochmal nachfragen, kann sein, dass ich zwischendurch ein bisschen zu technisch geworden bin...


Viele Grüße
slartibartfast

 

[Wombat]

Hallo slartibartfast!

Vielen Dank für Deine Ausführungen, sie waren sehr hilfreich für einen Unwissenden wie mich. Gut erklärt, so dass man es auch ohne Vorwissen verstehen kann. Ich suche gerade mehr darüber im Internet (man ist ja wissbegierig ).

Vielen Dank und viele Grüsse,
Wombat

 

[pacharo]

...Vielen Dank für Deine Ausführungen, sie waren sehr hilfreich für einen Unwissenden wie mich. Gut erklärt, so dass man es auch ohne Vorwissen verstehen kann...

Dem kann ich mich nur anschließen!
Vielen Dank!

Gruß
pacharo