[HaBo]

Haldir · 12.04.09, 09:52

Hi,
ich habe COMODO Firewall, und gucke da auch öfters mal auf die Eintragungen bei den Firewallevents. Seit ein par tagen fällt mir auf, dass angeblich von meinem Router aus, mit einem immer um eins höher werdenden port udp-Pakete bei einem anscheinend beliebigen Port bei meinem pc landen. Dabei wird jeder Port 3 oder 4 mal ausprobiert. Da die Abstände recht hoch sind, also auch öfters mal stundenlang nichts sagt die Firewall auch nichts vonwegen Portscan. Mir ist bewusst, dass so eine Art von Portscan ansich ziemlich sinnfrei ist aufgrund der Unmengen an möglichen Ports mache ich mir nicht allzugroße Sorgen, trozdem bin ich beunruhgigt. Gibt es für diesen "Portscan" eine logische Erklärung, oder weißt evtl. jemand worum es sich da handelt?

12.04.09, 13:05

Der logische Ansatz hierbei kann vielseitig sein, UDP ist bekanntlich unsicherer als TCP aber dennoch schneller und es ist verbindungslos im Gegensatz zu TCP.

Deine Firewall erkennt es nicht als Portscan, weil UDP keine Empfangsbestätigung verlangt wie TCP, es wird einfach nur "unreachable" bei nicht Erreichbarkeit gesendet..

Desweiteren kann ein späterer UDP - Angriff weitaus größeren Schaden anrichten als ein TCP - Angriff, dadurch das, wie oben erwähnt, UDP verbindungslos ist und direkt über einen UDP - Port mit der jeweiligen Anwendung kommuniziert, daraus resultiert auch, dass ein UDP - Portscan mehr Informationen zu der Anwendung liefern kann als ein TCP - Scan.

Ergo, kann solch ein Scan schon seinen Sinn haben, erst recht wenn man es auf bestimmte Anwendungen/Dienste wie DNS oder DHCP abgesehen hat. Auch sind UDP - Flooding dabei ein heikles Thema, dadurch das z.b. ein DNS mit UDP - Paketen überflossen wird, erreicht man ein "vollaufen" des Breitbandes was zugleich die TCP - Verbindungen "zerlegt".

Ich hoffe und denke es soweit verständlich, zumindest versucht, rüber gebracht zu haben

Grüße

Zephyros

Anzeige

- Anzeige -

Haldir · 12.04.09, 15:52

Die Ansätze finde ich durchaus interessant. Wie udp/tcp aufgebaut sind war mir durchaus bewusst. Nur verschiedene Dinge die jetzt von dir genannt wurden, wie dass sich udp für Angriffe besonders gut eignet waren mir unbewusst. Nur Tatsache ist, dass ich auf meinem PC weder einen DNS-Server, noch einen DHCP-Server laufen habe, und dies daher an sich vollkommen uninteressant ist. Daher bleibt die Frage "warm" für mich weiterhin im Raum stehen. Kann mir denn jemand einen Tipp geben wie ich das ganze beenden kann? Wenn ich wüsste auf welchem Port das Paket bei mir ankommt würde ich mir ne Java-Anwendung schreiben mit der ich mir dann das Paket angucken würde, nur da das leider nicht der Fall ist schließe ich diese Möglichkeit für's erste aus.
Hinzu kommt, dass ich nicht davon ausgehe, dass mein eigener Router einen Angriff auf meinen PC startet, und ich somit keine Ahnung habe wer der Angreifer ist.

Edit: Was mir jetzt noch einfällt. AntiVir ist gestern angeschlagen und hat einen Trojaner gemeldet denn ich allerdings komplett entfernen konnte. Kann das etwas damit zu tuen haben?

12.04.09, 22:07

Zitat:

Wie udp/tcp aufgebaut sind war mir durchaus bewusst. Nur verschiedene Dinge die jetzt von dir genannt wurden, wie dass sich udp für Angriffe besonders gut eignet waren mir unbewusst. Nur Tatsache ist, dass ich auf meinem PC weder einen DNS-Server, noch einen DHCP-Server laufen habe, und dies daher an sich vollkommen uninteressant ist.

Ob Du einen DNS oder DHCP - Server hast ist irrelevant, da es sich auch auf den DNS - und DHCP - Client bezieht und diesen Dienst hast Du aktiv.

Zitat:

Edit: Was mir jetzt noch einfällt. AntiVir ist gestern angeschlagen und hat einen Trojaner gemeldet denn ich allerdings komplett entfernen konnte. Kann das etwas damit zu tuen haben?

Natürlich, da vermutlich der Trojaner nach einem offenen Port sucht um Zugriff auf das System zu bekommen. Daher auch das scannen von Deinem Router und nicht aus dem Internet von irgendeiner IP.

Grüße

Zephyros

Haldir · 12.04.09, 22:22

Wie darf ich denn die Tatsache verstehen, dass von meinem Router aus gescannt wird? Geht der Trojaner hin und versucht auf die eigene IP zu verbinden? Anders könnte ich es mir ehrlich gesagt nicht vorstellen. Andererseits die Frage, hast du eine Ahnung wie ich da den entsprechnenden Prozess ausfindig machen kann?

13.04.09, 00:30

Was den Prozess angeht würde ich Dir empfehlen mal ein Hijack - Log in dem entsprechenden Thread zu stellen: HiJack-This-Log Sammelthread dort wird sich dann mit Sicherheit jemand das mal angucken.

Zitat:

Wie darf ich denn die Tatsache verstehen, dass von meinem Router aus gescannt wird? Geht der Trojaner hin und versucht auf die eigene IP zu verbinden?

Das hat einfach den Grund, dass der Trojaner auf deinem System sich eingenistet hat, somit vermutlich die Aufgabe hat für den "sender" einen offenen Port zu finden, den dann an den Angreifer zu melden, damit sich dieser Zugriff auf dein System verschaffen kann.

Es wäre ziemlich sinnfrei einen Scan auf dein System von außen zu machen, wenn der Trojaner schon "on Board" ist, somit wird das Programm sich einfach so verhalten, als wäre es aus deinem eigenen Netzwerk bzw. von deinem eigenen Router. So kann man Security - Programmen auch einiges vorgaukeln, da es ja aus dem eigenen Netz kommt ist es meist auch nicht weiter schlimm, so denkt zumindest das Security - Programm wenn es so eingestellt ist, dass alles was im internen Netz passiert vertrauenswürdig ist.

Grüße

Zephyros

Haldir · 13.04.09, 10:37

Ich hab den Scan mal gepostest, bitte mal durchgucken, die Online Analyse ist bisher nicht der meinung, dass da irgendwas ist und BitdDefender OnlineScan findet auch nichts.

**lightsaver** · 13.04.09, 11:04

Dein HJT-Log zeigt auch nichts wirklich auffälliges, wobei das nichts heißen muss.

Wenn diese Scans dauerhaft passieren (auch mit den großen Zeitabständen zwischendurch) und du vermutest, dass da wirklich was ist, dann würde ich einfach mal versuchen, ein zweites Windows auf eine andere Partition zu installieren und da nur das nötigste installieren, sprich: alle Updates und die Firewall.
Verwende für die Installationen nach Möglichkeit keine Dateien, die bereits bei dir irgendwo auf dem Rechner liegen und stelle vorher natürlich auch sicher, dass du auf keiner Partition einen Schädling per autorun.inf lädst (wobei das bei Festplatten glaube ich so ohne weiteres eh nicht klappt).
Damit hättest du auf jeden Fall mal ein sauberes System. Wenn da die Scans nicht auftreten, wird vermutlich etwas auf deinem alten Windows sein.

Eine weitere Variante könnte auch der Router sein. Es gab wohl bereits Angriffe auf Router, um diese zu infizieren und das wohl auch erfolgreich. Daher doch gleich mal noch die Frage, welchen Router hast du?

Steht in den Logs eigentlich nur der Port oder auch eine Quell-IP?

Haldir · 13.04.09, 11:23

Im Log steht folgendes:
Application: Windows Operating System
Action: Blocked
Protocol: UDP
Source IP: 192.168.0.1 (Router)
Source Port: 2279 (das war der letzte versuchte Port als nächstes kommt dann vermutlich 2280, wobei heute noch nichts geblockt wurde)
Destination IP: 192.168.0.101 (mein PC)
Destination Port: 1043 (Der variiert ohne Muster)
Date/Time: (Die entsprechende Zeit)

Edit: Ich lass jetzt mal Wireshark nebenher laufen auf Port 2280 udp, ich hoffe ich merks so wenn da was kommt.

**lightsaver** · 13.04.09, 11:27

Ok, und was ist mit der Frage nach deinem Router?

Haldir · 13.04.09, 11:28

Router ist "WBR-3460B"
Edit: Wies aussieht wurde versucht ernsthaft auf den pc zuzugreifen, zumindest wurden in sehr kurzen zeitabständen reichlich Pakete abgefangen. Diesmal auch mit WAN-IP, bzw. zwei verschiedenen mit auch verschiedenen src Ports:

IP: 79.223.174.57 src-Port: 57452
IP: 79.203.93.117 src-Port: 62282

Zielport ist in beiden Fällen 3891. Danach wurde weiter versucht einen freien Port zu finden aus dem lokalen netz, hab jetzt mal Wireshark auf die vermutlich nächsten Ports angesetzt in der Hoffnung da was brauchbares abzufangen.

Anzeige

- Anzeige -

12.04.09, 09:52	#1 (permalink)
Haldir Registriert seit: 03.03.07 Likes: 0	"Portscan" per udp Anzeige Hi, ich habe COMODO Firewall, und gucke da auch öfters mal auf die Eintragungen bei den Firewallevents. Seit ein par tagen fällt mir auf, dass angeblich von meinem Router aus, mit einem immer um eins höher werdenden port udp-Pakete bei einem anscheinend beliebigen Port bei meinem pc landen. Dabei wird jeder Port 3 oder 4 mal ausprobiert. Da die Abstände recht hoch sind, also auch öfters mal stundenlang nichts sagt die Firewall auch nichts vonwegen Portscan. Mir ist bewusst, dass so eine Art von Portscan ansich ziemlich sinnfrei ist aufgrund der Unmengen an möglichen Ports mache ich mir nicht allzugroße Sorgen, trozdem bin ich beunruhgigt. Gibt es für diesen "Portscan" eine logische Erklärung, oder weißt evtl. jemand worum es sich da handelt?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Angriffsignaturen 2 - tcp-syn-portscan	friday0D	(In)security allgemein	5	04.11.09 18:57
portscan mit php	matrixII	(Web-) Design und webbasierte Sprachen	2	31.01.04 22:47
Portscan...	lutz280681	(In)security allgemein	9	22.10.03 14:31
Portscan Prob.	Gizmo	(In)security allgemein	14	20.01.03 15:35

12.04.09, 13:05	#2 (permalink)
gelöscht Guest Likes:	Der logische Ansatz hierbei kann vielseitig sein, UDP ist bekanntlich unsicherer als TCP aber dennoch schneller und es ist verbindungslos im Gegensatz zu TCP. Deine Firewall erkennt es nicht als Portscan, weil UDP keine Empfangsbestätigung verlangt wie TCP, es wird einfach nur "unreachable" bei nicht Erreichbarkeit gesendet.. Desweiteren kann ein späterer UDP - Angriff weitaus größeren Schaden anrichten als ein TCP - Angriff, dadurch das, wie oben erwähnt, UDP verbindungslos ist und direkt über einen UDP - Port mit der jeweiligen Anwendung kommuniziert, daraus resultiert auch, dass ein UDP - Portscan mehr Informationen zu der Anwendung liefern kann als ein TCP - Scan. Ergo, kann solch ein Scan schon seinen Sinn haben, erst recht wenn man es auf bestimmte Anwendungen/Dienste wie DNS oder DHCP abgesehen hat. Auch sind UDP - Flooding dabei ein heikles Thema, dadurch das z.b. ein DNS mit UDP - Paketen überflossen wird, erreicht man ein "vollaufen" des Breitbandes was zugleich die TCP - Verbindungen "zerlegt". Ich hoffe und denke es soweit verständlich, zumindest versucht, rüber gebracht zu haben Grüße Zephyros

12.04.09, 15:52	#3 (permalink)
Haldir Themenstarter Registriert seit: 03.03.07 Likes: 0	Die Ansätze finde ich durchaus interessant. Wie udp/tcp aufgebaut sind war mir durchaus bewusst. Nur verschiedene Dinge die jetzt von dir genannt wurden, wie dass sich udp für Angriffe besonders gut eignet waren mir unbewusst. Nur Tatsache ist, dass ich auf meinem PC weder einen DNS-Server, noch einen DHCP-Server laufen habe, und dies daher an sich vollkommen uninteressant ist. Daher bleibt die Frage "warm" für mich weiterhin im Raum stehen. Kann mir denn jemand einen Tipp geben wie ich das ganze beenden kann? Wenn ich wüsste auf welchem Port das Paket bei mir ankommt würde ich mir ne Java-Anwendung schreiben mit der ich mir dann das Paket angucken würde, nur da das leider nicht der Fall ist schließe ich diese Möglichkeit für's erste aus. Hinzu kommt, dass ich nicht davon ausgehe, dass mein eigener Router einen Angriff auf meinen PC startet, und ich somit keine Ahnung habe wer der Angreifer ist. Edit: Was mir jetzt noch einfällt. AntiVir ist gestern angeschlagen und hat einen Trojaner gemeldet denn ich allerdings komplett entfernen konnte. Kann das etwas damit zu tuen haben?

12.04.09, 22:22	#5 (permalink)
Haldir Themenstarter Registriert seit: 03.03.07 Likes: 0	Wie darf ich denn die Tatsache verstehen, dass von meinem Router aus gescannt wird? Geht der Trojaner hin und versucht auf die eigene IP zu verbinden? Anders könnte ich es mir ehrlich gesagt nicht vorstellen. Andererseits die Frage, hast du eine Ahnung wie ich da den entsprechnenden Prozess ausfindig machen kann?

13.04.09, 10:37	#7 (permalink)
Haldir Themenstarter Registriert seit: 03.03.07 Likes: 0	Ich hab den Scan mal gepostest, bitte mal durchgucken, die Online Analyse ist bisher nicht der meinung, dass da irgendwas ist und BitdDefender OnlineScan findet auch nichts.

13.04.09, 11:04	#8 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Dein HJT-Log zeigt auch nichts wirklich auffälliges, wobei das nichts heißen muss. Wenn diese Scans dauerhaft passieren (auch mit den großen Zeitabständen zwischendurch) und du vermutest, dass da wirklich was ist, dann würde ich einfach mal versuchen, ein zweites Windows auf eine andere Partition zu installieren und da nur das nötigste installieren, sprich: alle Updates und die Firewall. Verwende für die Installationen nach Möglichkeit keine Dateien, die bereits bei dir irgendwo auf dem Rechner liegen und stelle vorher natürlich auch sicher, dass du auf keiner Partition einen Schädling per autorun.inf lädst (wobei das bei Festplatten glaube ich so ohne weiteres eh nicht klappt). Damit hättest du auf jeden Fall mal ein sauberes System. Wenn da die Scans nicht auftreten, wird vermutlich etwas auf deinem alten Windows sein. Eine weitere Variante könnte auch der Router sein. Es gab wohl bereits Angriffe auf Router, um diese zu infizieren und das wohl auch erfolgreich. Daher doch gleich mal noch die Frage, welchen Router hast du? Steht in den Logs eigentlich nur der Port oder auch eine Quell-IP?

13.04.09, 11:23	#9 (permalink)
Haldir Themenstarter Registriert seit: 03.03.07 Likes: 0	Im Log steht folgendes: Application: Windows Operating System Action: Blocked Protocol: UDP Source IP: 192.168.0.1 (Router) Source Port: 2279 (das war der letzte versuchte Port als nächstes kommt dann vermutlich 2280, wobei heute noch nichts geblockt wurde) Destination IP: 192.168.0.101 (mein PC) Destination Port: 1043 (Der variiert ohne Muster) Date/Time: (Die entsprechende Zeit) Edit: Ich lass jetzt mal Wireshark nebenher laufen auf Port 2280 udp, ich hoffe ich merks so wenn da was kommt.

13.04.09, 11:27	#10 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Ok, und was ist mit der Frage nach deinem Router?

13.04.09, 11:28	#11 (permalink)
Haldir Themenstarter Registriert seit: 03.03.07 Likes: 0	Router ist "WBR-3460B" Edit: Wies aussieht wurde versucht ernsthaft auf den pc zuzugreifen, zumindest wurden in sehr kurzen zeitabständen reichlich Pakete abgefangen. Diesmal auch mit WAN-IP, bzw. zwei verschiedenen mit auch verschiedenen src Ports: IP: 79.223.174.57 src-Port: 57452 IP: 79.203.93.117 src-Port: 62282 Zielport ist in beiden Fällen 3891. Danach wurde weiter versucht einen freien Port zu finden aus dem lokalen netz, hab jetzt mal Wireshark auf die vermutlich nächsten Ports angesetzt in der Hoffnung da was brauchbares abzufangen.

[HaBo]

"Portscan" per udp