CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede johnstigers Seniormester
11. december 2002 - 19:18 Der er 52 kommentarer og
2 løsninger

hvad sker der?

Er det angreb på min maskine el. hvad?

ZoneAlarm Logging Client v2.6.362
Windows NT-5.1.2600--SP
type,date,time,source,destination,transport
PE,2002/12/10,21:21:34 +1:00 GMT,ZoneAlarm Pro,209.122.173.160:80,N/A
PE,2002/12/10,21:21:40 +1:00 GMT,CableConnect MFC Application,192.168.30.2:259,N/A
PE,2002/12/10,21:22:07 +1:00 GMT,Generic Host Process for Win32 Services,212.10.24.252:53,N/A
PE,2002/12/10,21:25:10 +1:00 GMT,Outlook Express,212.10.30.233:110,N/A
FWIN,2002/12/10,21:26:00 +1:00 GMT,211.191.122.23:1025,192.168.188.79:137,UDP
PE,2002/12/10,21:27:53 +1:00 GMT,The All-Seeing Eye,212.10.30.239:27015,N/A
PE,2002/12/10,21:27:56 +1:00 GMT,The All-Seeing Eye,212.10.30.239:27015,N/A
FWIN,2002/12/10,21:28:36 +1:00 GMT,217.208.237.237:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:38 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:39 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:40 +1:00 GMT,213.64.128.145:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:41 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:44 +1:00 GMT,213.65.48.112:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:45 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:46 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:47 +1:00 GMT,213.64.194.79:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:48 +1:00 GMT,217.209.204.182:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:48 +1:00 GMT,80.160.16.38:0,192.168.188.79:0,ICMP (type:3/subtype:1)
FWIN,2002/12/10,21:28:50 +1:00 GMT,217.208.237.237:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:52 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:58 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:58 +1:00 GMT,213.64.128.145:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:29:00 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:29:07 +1:00 GMT,213.65.48.112:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:29:10 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:29:12 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:29:25 +1:00 GMT,130.67.113.196:0,192.168.188.79:0,UDP
FWIN,2002/12/10,21:29:25 +1:00 GMT,217.211.45.216:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWOUT,2002/12/10,21:29:59 +1:00 GMT,192.168.188.79:0,217.157.165.233:0,ICMP (type:11/subtype:1)
FWIN,2002/12/10,21:29:59 +1:00 GMT,213.67.182.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:30:08 +1:00 GMT,213.64.65.58:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:30:23 +1:00 GMT,217.208.34.183:0,192.168.188.79:0,UDP
FWIN,2002/12/10,21:30:29 +1:00 GMT,217.157.165.233:0,192.168.188.79:0,UDP
PE,2002/12/10,21:30:32 +1:00 GMT,ICQ,0.0.0.0:0,N/A
FWOUT,2002/12/10,21:30:36 +1:00 GMT,192.168.188.79:1736,212.10.24.252:53,UDP
PE,2002/12/10,21:31:10 +1:00 GMT,BPFTP Server for Internet.,0.0.0.0:0,N/A
FWIN,2002/12/10,21:31:11 +1:00 GMT,68.80.238.72:2033,192.168.188.79:445,TCP (flags:S)
PE,2002/12/10,21:32:42 +1:00 GMT,CounterStrike Launcher,0.0.0.0:0,N/A
FWIN,2002/12/10,21:40:20 +1:00 GMT,200.228.54.11:1887,192.168.188.79:445,TCP (flags:S)
FWIN,2002/12/10,21:49:46 +1:00 GMT,169.207.171.15:1027,192.168.188.79:137,UDP
FWIN,2002/12/10,21:51:03 +1:00 GMT,64.25.100.93:1027,192.168.188.79:137,UDP
FWIN,2002/12/10,21:58:18 +1:00 GMT,193.220.101.107:4474,192.168.188.79:111,TCP (flags:S)
FWIN,2002/12/10,22:04:16 +1:00 GMT,24.203.250.147:1029,192.168.188.79:137,UDP
FWIN,2002/12/10,22:09:23 +1:00 GMT,62.251.157.57:1048,192.168.188.79:137,UDP
FWIN,2002/12/10,22:11:28 +1:00 GMT,211.212.72.165:1026,192.168.188.79:137,UDP
FWIN,2002/12/10,22:13:25 +1:00 GMT,200.64.247.19:1028,192.168.188.79:137,UDP
FWIN,2002/12/10,22:14:37 +1:00 GMT,65.219.232.99:40112,192.168.188.79:137,UDP
FWIN,2002/12/10,22:18:35 +1:00 GMT,162.39.36.155:1031,192.168.188.79:137,UDP
FWIN,2002/12/10,22:21:50 +1:00 GMT,131.178.28.243:1027,192.168.188.79:137,UDP
FWIN,2002/12/10,22:27:36 +1:00 GMT,195.175.247.243:1027,192.168.188.79:137,UDP
FWIN,2002/12/10,22:30:32 +1:00 GMT,209.246.133.203:1027,192.168.188.79:137,UDP
FWIN,2002/12/10,22:31:34 +1:00 GMT,80.25.239.214:1025,192.168.188.79:137,UDP
FWIN,2002/12/10,22:33:36 +1:00 GMT,81.10.12.107:1028,192.168.188.79:137,UDP
FWIN,2002/12/10,22:35:45 +1:00 GMT,202.163.247.135:1028,192.168.188.79:137,UDP
FWIN,2002/12/10,22:38:58 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:38:58 +1:00 GMT,62.243.128.223:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:38:59 +1:00 GMT,217.210.250.191:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:38:59 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:00 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:00 +1:00 GMT,213.65.52.98:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:02 +1:00 GMT,200.67.142.74:1084,192.168.188.79:137,UDP
FWIN,2002/12/10,22:39:03 +1:00 GMT,80.196.154.250:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:06 +1:00 GMT,80.196.167.193:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:06 +1:00 GMT,80.196.167.193:34839,192.168.188.79:137,UDP
FWIN,2002/12/10,22:39:07 +1:00 GMT,81.224.128.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:08 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:08 +1:00 GMT,217.208.106.25:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:09 +1:00 GMT,213.64.120.37:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:10 +1:00 GMT,217.211.45.216:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:11 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:12 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:13 +1:00 GMT,194.236.113.184:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:14 +1:00 GMT,217.215.57.127:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:16 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:16 +1:00 GMT,217.209.205.131:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:17 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:18 +1:00 GMT,217.208.44.234:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:19 +1:00 GMT,194.215.210.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:19 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:19 +1:00 GMT,212.181.213.19:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:22 +1:00 GMT,213.66.202.35:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:23 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:24 +1:00 GMT,80.196.167.193:34839,192.168.188.79:137,UDP
FWIN,2002/12/10,22:39:24 +1:00 GMT,217.211.45.216:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:25 +1:00 GMT,62.243.128.223:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:25 +1:00 GMT,217.210.250.191:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:25 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:26 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:26 +1:00 GMT,217.209.204.182:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:29 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:31 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:33 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:33 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:33 +1:00 GMT,213.66.202.35:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:33 +1:00 GMT,81.224.128.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:33 +1:00 GMT,194.236.113.184:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:34 +1:00 GMT,80.196.154.250:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:34 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:36 +1:00 GMT,194.215.210.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:36 +1:00 GMT,213.64.120.37:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:37 +1:00 GMT,217.209.205.131:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:38 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:38 +1:00 GMT,217.215.57.127:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:39 +1:00 GMT,217.208.44.234:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:40 +1:00 GMT,213.65.52.98:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:40 +1:00 GMT,80.196.167.193:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:40 +1:00 GMT,217.208.106.25:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:42 +1:00 GMT,81.224.128.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:44 +1:00 GMT,62.243.128.223:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:45 +1:00 GMT,80.196.154.250:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:45 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:46 +1:00 GMT,217.211.45.216:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:46 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:47 +1:00 GMT,217.209.204.182:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:47 +1:00 GMT,80.196.167.193:34839,192.168.188.79:137,UDP
FWIN,2002/12/10,22:39:47 +1:00 GMT,217.215.57.127:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:47 +1:00 GMT,194.236.113.184:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:49 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:50 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:50 +1:00 GMT,217.209.205.131:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:50 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:51 +1:00 GMT,217.210.250.191:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:52 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:52 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:54 +1:00 GMT,213.64.120.37:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:54 +1:00 GMT,212.181.213.19:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:54 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:55 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:55 +1:00 GMT,217.208.44.234:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:55 +1:00 GMT,213.66.202.35:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWOUT,2002/12/10,22:39:55 +1:00 GMT,192.168.188.79:1736,212.10.24.252:53,UDP
FWIN,2002/12/10,22:39:57 +1:00 GMT,62.243.128.223:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:58 +1:00 GMT,81.224.128.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:58 +1:00 GMT,217.209.204.182:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:59 +1:00 GMT,80.196.154.250:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:01 +1:00 GMT,217.208.106.25:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:02 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:03 +1:00 GMT,217.210.250.191:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:03 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:05 +1:00 GMT,217.215.57.127:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:05 +1:00 GMT,213.64.120.37:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:05 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:05 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:06 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:07 +1:00 GMT,213.66.202.35:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:07 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:08 +1:00 GMT,217.209.205.131:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:09 +1:00 GMT,194.236.113.184:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:10 +1:00 GMT,217.211.45.216:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:10 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:11 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:11 +1:00 GMT,194.215.210.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:11 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:11 +1:00 GMT,80.196.167.193:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:12 +1:00 GMT,213.65.52.98:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:21 +1:00 GMT,80.196.167.193:34839,192.168.188.79:137,UDP
FWIN,2002/12/10,22:41:48 +1:00 GMT,81.98.112.100:1025,192.168.188.79:137,UDP
FWOUT,2002/12/10,22:45:19 +1:00 GMT,192.168.188.79:27244,194.251.249.103:27243,UDP
FWIN,2002/12/10,22:45:46 +1:00 GMT,211.181.68.14:1025,192.168.188.79:137,UDP
FWIN,2002/12/10,22:51:33 +1:00 GMT,61.221.171.188:55844,192.168.188.79:80,TCP (flags:S)
FWIN,2002/12/10,22:54:16 +1:00 GMT,66.32.111.42:1027,192.168.188.79:137,UDP
FWIN,2002/12/10,22:57:08 +1:00 GMT,81.48.50.247:1026,192.168.188.79:137,UDP
FWIN,2002/12/10,23:00:41 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:42 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:43 +1:00 GMT,80.196.167.193:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:43 +1:00 GMT,80.196.167.193:34175,192.168.188.79:137,UDP
FWIN,2002/12/10,23:00:44 +1:00 GMT,62.243.128.223:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:45 +1:00 GMT,212.181.212.13:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:47 +1:00 GMT,217.209.141.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:47 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:47 +1:00 GMT,194.236.113.184:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:50 +1:00 GMT,213.65.52.98:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:52 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:53 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:53 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:55 +1:00 GMT,213.64.120.37:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:57 +1:00 GMT,217.208.70.205:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:57 +1:00 GMT,217.208.44.234:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:59 +1:00 GMT,81.224.128.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:00:59 +1:00 GMT,194.215.210.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:00 +1:00 GMT,213.66.202.35:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:02 +1:00 GMT,80.196.167.193:34175,192.168.188.79:137,UDP
FWIN,2002/12/10,23:01:08 +1:00 GMT,62.243.128.223:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:09 +1:00 GMT,217.209.141.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:09 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:09 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:10 +1:00 GMT,213.65.52.98:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:10 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:11 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:12 +1:00 GMT,212.181.212.13:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:12 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:12 +1:00 GMT,217.208.70.205:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:13 +1:00 GMT,194.215.210.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:14 +1:00 GMT,81.224.128.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:14 +1:00 GMT,213.66.202.35:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:15 +1:00 GMT,80.196.167.193:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:15 +1:00 GMT,194.236.113.184:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:17 +1:00 GMT,217.208.44.234:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:18 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:25 +1:00 GMT,213.64.120.37:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:26 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:26 +1:00 GMT,217.209.141.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:27 +1:00 GMT,80.196.167.193:34175,192.168.188.79:137,UDP
FWIN,2002/12/10,23:01:28 +1:00 GMT,213.65.52.98:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:29 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:30 +1:00 GMT,194.215.210.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:30 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:31 +1:00 GMT,81.224.128.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:31 +1:00 GMT,217.208.70.205:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:32 +1:00 GMT,62.243.128.223:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:32 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:33 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:33 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:34 +1:00 GMT,217.215.114.133:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:35 +1:00 GMT,213.66.202.35:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:39 +1:00 GMT,217.208.44.234:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:40 +1:00 GMT,217.209.141.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:41 +1:00 GMT,213.65.52.98:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:44 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:45 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:45 +1:00 GMT,80.196.167.193:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:45 +1:00 GMT,217.208.70.205:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:46 +1:00 GMT,194.215.210.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:46 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:47 +1:00 GMT,213.64.120.37:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:47 +1:00 GMT,217.215.114.133:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:48 +1:00 GMT,194.236.113.184:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:49 +1:00 GMT,212.181.212.13:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:50 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:50 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,23:01:51 +1:00 GMT,200.64.162.91:1028,192.168.188.79:137,UDP
FWIN,2002/12/10,23:02:02 +1:00 GMT,80.196.167.193:34175,192.168.188.79:137,UDP
FWIN,2002/12/10,23:02:12 +1:00 GMT,80.196.163.235:0,192.168.188.79:0,UDP
FWIN,2002/12/10,23:03:01 +1:00 GMT,217.157.165.233:0,192.168.188.79:0,UDP
FWOUT,2002/12/10,23:03:09 +1:00 GMT,192.168.188.79:27244,194.251.249.103:27243,UDP
FWOUT,2002/12/10,23:03:24 +1:00 GMT,192.168.188.79:1736,212.10.24.252:53,UDP
FWIN,2002/12/10,23:06:14 +1:00 GMT,218.17.77.29:1026,192.168.188.79:137,UDP
PE,2002/12/10,23:23:03 +1:00 GMT,msn,127.0.0.1:2174,N/A
PE,2002/12/11,11:51:33 +1:00 GMT,,0.0.0.0:0,N/A
PE,2002/12/11,11:55:04 +1:00 GMT,,212.10.24.252:53,N/A
FWIN,2002/12/11,11:55:32 +1:00 GMT,211.180.208.160:1032,192.168.188.79:137,UDP
FWIN,2002/12/11,11:55:37 +1:00 GMT,195.14.250.88:1025,192.168.188.79:137,UDP
FWIN,2002/12/11,11:56:47 +1:00 GMT,218.76.245.14:1032,192.168.188.79:137,UDP
FWIN,2002/12/11,12:42:11 +1:00 GMT,200.223.190.12:1028,192.168.188.79:137,UDP
PE,2002/12/11,12:42:31 +1:00 GMT,,212.10.24.252:53,N/A
FWIN,2002/12/11,12:44:26 +1:00 GMT,212.119.76.214:1056,192.168.188.79:137,UDP
FWIN,2002/12/11,12:44:44 +1:00 GMT,164.73.161.96:1028,192.168.188.79:137,UDP
FWIN,2002/12/11,12:46:26 +1:00 GMT,200.206.137.21:1033,192.168.188.79:137,UDP
FWIN,2002/12/11,12:51:27 +1:00 GMT,200.193.244.72:1026,192.168.188.79:137,UDP
FWIN,2002/12/11,12:53:01 +1:00 GMT,203.186.95.8:57045,192.168.188.79:137,UDP
FWIN,2002/12/11,12:54:36 +1:00 GMT,213.190.56.144:1026,192.168.188.79:137,UDP
FWIN,2002/12/11,12:56:25 +1:00 GMT,218.24.83.64:1025,192.168.188.79:137,UDP
FWIN,2002/12/11,13:01:42 +1:00 GMT,62.181.73.225:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:01:43 +1:00 GMT,213.66.46.105:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:01:45 +1:00 GMT,217.209.153.2:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:01:47 +1:00 GMT,80.62.80.126:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:01:47 +1:00 GMT,80.199.20.19:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:01:49 +1:00 GMT,217.215.43.213:0,192.168.188.79:0,ICMP (type:3/subtype:1)
FWIN,2002/12/11,13:01:55 +1:00 GMT,80.199.15.155:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:01:57 +1:00 GMT,217.215.151.91:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWOUT,2002/12/11,13:01:59 +1:00 GMT,192.168.188.79:1029,212.10.24.252:53,UDP
FWIN,2002/12/11,13:02:05 +1:00 GMT,217.209.205.131:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:02:05 +1:00 GMT,213.114.110.253:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:02:06 +1:00 GMT,213.65.240.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:02:07 +1:00 GMT,217.215.169.72:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:02:11 +1:00 GMT,213.66.46.105:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:02:12 +1:00 GMT,217.209.153.2:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:02:12 +1:00 GMT,62.181.73.225:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:02:20 +1:00 GMT,80.199.20.19:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWOUT,2002/12/11,13:02:44 +1:00 GMT,192.168.188.79:1029,212.10.10.4:53,UDP
PE,2002/12/11,13:02:45 +1:00 GMT,TCP/IP Ping-kommando,195.184.98.141:0,N/A
FWIN,2002/12/11,13:05:42 +1:00 GMT,212.34.141.110:1031,192.168.188.79:137,UDP
FWIN,2002/12/11,13:07:03 +1:00 GMT,200.168.96.31:1028,192.168.188.79:137,UDP
FWIN,2002/12/11,13:10:08 +1:00 GMT,61.0.155.109:1027,192.168.188.79:137,UDP
FWIN,2002/12/11,13:11:34 +1:00 GMT,218.85.183.154:1026,192.168.188.79:137,UDP
FWIN,2002/12/11,13:12:06 +1:00 GMT,24.188.117.12:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:12:22 +1:00 GMT,200.171.236.17:1064,192.168.188.79:137,UDP
FWIN,2002/12/11,13:12:36 +1:00 GMT,137.229.232.86:500,192.168.188.79:500,UDP
FWIN,2002/12/11,13:12:43 +1:00 GMT,66.79.159.83:11750,192.168.188.79:33435,UDP
FWIN,2002/12/11,13:15:12 +1:00 GMT,213.114.110.253:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:15:13 +1:00 GMT,217.215.151.91:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:15:13 +1:00 GMT,62.181.73.225:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:15:13 +1:00 GMT,217.209.153.2:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:15:17 +1:00 GMT,213.65.240.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:15:18 +1:00 GMT,217.209.205.131:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:15:19 +1:00 GMT,217.215.43.213:0,192.168.188.79:0,ICMP (type:3/subtype:1)
FWIN,2002/12/11,13:15:23 +1:00 GMT,213.66.46.105:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:15:26 +1:00 GMT,80.199.20.19:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/11,13:15:48 +1:00 GMT,64.10.91.81:1029,192.168.188.79:137,UDP
FWOUT,2002/12/11,13:16:21 +1:00 GMT,192.168.188.79:27244,194.251.249.103:27243,UDP
FWOUT,2002/12/11,13:16:38 +1:00 GMT,192.168.188.79:1029,212.10.24.252:53,UDP
FWIN,2002/12/11,13:19:13 +1:00 GMT,80.19.24.250:1027,192.168.188.79:137,UDP
FWIN,2002/12/11,13:24:01 +1:00 GMT,145.236.197.41:34753,192.168.188.79:137,UDP
FWIN,2002/12/11,13:24:03 +1:00 GMT,217.136.44.210:1029,192.168.188.79:137,UDP
FWIN,2002/12/11,13:25:00 +1:00 GMT,211.148.130.184:1028,192.168.188.79:137,UDP
FWIN,2002/12/11,13:27:16 +1:00 GMT,200.171.140.86:1086,192.168.188.79:137,UDP
PE,2002/12/11,13:31:19 +1:00 GMT,,212.10.10.4:53,N/A
FWIN,2002/12/11,13:43:58 +1:00 GMT,68.112.224.195:1026,192.168.188.79:137,UDP
FWIN,2002/12/11,13:46:00 +1:00 GMT,80.224.184.2:13362,192.168.188.79:137,UDP
FWIN,2002/12/11,13:50:31 +1:00 GMT,203.173.236.87:1025,192.168.188.79:137,UDP
FWIN,2002/12/11,13:57:30 +1:00 GMT,218.71.79.104:1027,192.168.188.79:137,UDP
FWIN,2002/12/11,14:00:50 +1:00 GMT,61.222.171.100:1027,192.168.188.79:137,UDP
FWIN,2002/12/11,14:03:52 +1:00 GMT,210.203.189.47:1026,192.168.188.79:137,UDP
FWIN,2002/12/11,14:06:22 +1:00 GMT,150.254.25.164:1025,192.168.188.79:137,UDP
PE,2002/12/11,14:20:45 +1:00 GMT,Generic Host Process for Win32 Services,0.0.0.0:0,N/A
PE,2002/12/11,14:20:53 +1:00 GMT,,0.0.0.0:0,N/A
PE,2002/12/11,14:20:56 +1:00 GMT,,212.10.24.252:53,N/A
FWIN,2002/12/11,14:21:57 +1:00 GMT,193.251.66.24:64039,192.168.188.79:137,UDP
FWIN,2002/12/11,14:24:29 +1:00 GMT,218.91.50.45:1065,192.168.188.79:137,UDP
FWIN,2002/12/11,14:28:11 +1:00 GMT,68.117.148.136:1039,192.168.188.79:137,UDP
FWIN,2002/12/11,14:28:44 +1:00 GMT,61.8.228.178:50072,192.168.188.79:137,UDP
FWIN,2002/12/11,14:30:16 +1:00 GMT,63.198.128.240:4767,192.168.188.79:1433,TCP (flags:S)
FWIN,2002/12/11,14:36:10 +1:00 GMT,200.158.71.197:1025,192.168.188.79:137,UDP
FWIN,2002/12/11,14:37:03 +1:00 GMT,218.238.229.204:3712,192.168.188.79:25,TCP (flags:S)
PE,2002/12/11,17:58:48 +1:00 GMT,,0.0.0.0:0,N/A
FWIN,2002/12/11,18:00:42 +1:00 GMT,66.129.192.105:1027,192.168.188.79:137,UDP
FWIN,2002/12/11,18:01:51 +1:00 GMT,63.173.172.104:1025,192.168.188.79:137,UDP
FWIN,2002/12/11,18:04:10 +1:00 GMT,67.4.24.54:1028,192.168.188.79:137,UDP
FWIN,2002/12/11,18:04:47 +1:00 GMT,211.176.251.189:1433,192.168.188.79:443,TCP (flags:S)
FWIN,2002/12/11,18:13:06 +1:00 GMT,213.153.55.253:4552,192.168.188.79:137,UDP
FWIN,2002/12/11,18:17:34 +1:00 GMT,24.210.180.185:1031,192.168.188.79:137,UDP
FWIN,2002/12/11,18:18:00 +1:00 GMT,62.123.122.232:21721,192.168.188.79:137,UDP
FWIN,2002/12/11,18:18:16 +1:00 GMT,204.30.250.1:1026,192.168.188.79:137,UDP
FWIN,2002/12/11,18:19:19 +1:00 GMT,200.50.194.85:1027,192.168.188.79:137,UDP
FWIN,2002/12/11,18:20:26 +1:00 GMT,169.227.254.3:14541,192.168.188.79:137,UDP
FWIN,2002/12/11,18:25:51 +1:00 GMT,194.24.253.71:1027,192.168.188.79:137,UDP
FWIN,2002/12/11,18:28:29 +1:00 GMT,194.255.251.226:58691,192.168.188.79:21,TCP (flags:S)
FWIN,2002/12/11,19:09:45 +1:00 GMT,212.174.60.34:1272,192.168.188.79:137,UDP
FWIN,2002/12/11,19:10:19 +1:00 GMT,192.116.125.25:1063,192.168.188.79:137,UDP
FWIN,2002/12/11,19:14:03 +1:00 GMT,209.86.193.10:1026,192.168.188.79:137,UDP
FWIN,2002/12/11,19:15:34 +1:00 GMT,216.106.35.178:1026,192.168.188.79:137,UDP
FWIN,2002/12/11,19:16:34 +1:00 GMT,61.166.21.130:1044,192.168.188.79:137,UDP
Avatar billede fiskesuppe Nybegynder
11. december 2002 - 19:51 #1
Port 1025 nævnes nogle gange og det ligner noget der bruges til angreb via en trojan:
http://pub70.ezboard.com/fk6plus67153frm8.showMessage?topicID=650.topic
Avatar billede bad24 Nybegynder
11. december 2002 - 19:54 #2
ellers er det måske et eller andet p2p/share program, du har brugt og så lukket igen. Brugerne vil så stadig prøve på at forbinde, selvom de ikke for noget svar fra din computer
Avatar billede aovergaard Nybegynder
11. december 2002 - 19:59 #3
http://www.anti-trojan.net/en/download.aspx og/eller http://www.framework.nl Her kan du få et program mod trojanske heste.
Avatar billede fiskesuppe Nybegynder
11. december 2002 - 20:00 #4
Prøv at scanne din computer for trojans:
http://www.anti-trojan.net/en/
Programmet ser ud til at virke i 14 dage, for det er en trial.
Avatar billede aovergaard Nybegynder
11. december 2002 - 20:02 #5
En side der også er værd at gå ind og kigge på er denne: http://www.kriminalitet.dk/ Hvor du kan læse om de forskellige porte Spy, trojanere og meget mere.
Avatar billede johnstigers Seniormester
11. december 2002 - 20:17 #6
bad24> bruger ikke fildeling.

Prøver lige den der anti-trojan ting...
Avatar billede langbein Nybegynder
15. december 2002 - 23:27 #7
Dette er vel ping pakker:
FWIN,2002/12/11,13:15:17 +1:00 GMT,213.65.240.197:0,192.168.188.79:0,ICMP

Ping pakkene har tilsynelatende flere forskjellige avsender adresser. Behøver vel ikke å være helt sant. Kan være falske avsender adresser vil jeg tro.

Hva er dette:
FWIN,2002/12/11,13:57:30 +1:00 GMT,218.71.79.104:1027,192.168.188.79:137,UDP

Til port 137 .. Dette er vel netbios port/protokoll.

Ping flood i kombinasjon med et anntall netbios port/protokoll ip pakker. Disse skal vel normalt ikke pasere over internett i det hele tatt ? Ser ut til å være gjennomført et angrep mot maskinen. Angrepet kan være gjennomført for å forsøke å komme inn direkte, men det kan også være gjennomført for å skape støy og sjekke resons og så samle data som forberedelse til det virkelige angrepet som kommer etterpå. Bare min gjetning.

Det er vel ellers ikke avsender portene som er det kritiske, men heller de adresserte portene på din PC, spesielt port 137. Det ser ut som om det er noe eller noen som forsøker på noe, synes jeg.
Avatar billede langbein Nybegynder
15. december 2002 - 23:30 #8
Vil tro at dette er snakk om trafikk fra utsiden som forsøker å komme inn. Det kan jo være noen som leter etter en tidligere avsendt trojaner.

Forsøk å kjør en portscan av egen maskin ved hjelp av denne:
http://scan.sygate.com
Avatar billede langbein Nybegynder
15. december 2002 - 23:32 #9
Lag en scan av egen maskin med denne også, for å sjekke for eventuelle "lekasjer" eller trojanere:
https://grc.com/x/ne.dll?bh0bkyd2
Avatar billede johnstigers Seniormester
17. december 2002 - 14:17 #10
ingen trojanere - men stadig 100 - 300 events zonealarm fanger....
Avatar billede langbein Nybegynder
17. december 2002 - 15:10 #11
IP adressen for den maskin som blir angrepet er 192.168.188.79, ikke sant ??

Dette er irregulær trafikk som enten kommer fra innsiden (event en etablert trojaner som ikke kan detekteres fra utsiden fordi den er "innestengt") eller mere sannsynlig det dreier seg om et angrep fra utsiden. Utskriften tyder jo på det.

Ser ut som om noen gjør et langvrig forsøk på inntregning eller kartlegging av din firewall / PC.

Forsøk å følg med om pakkene fortsatt er ICMP (ping) og adressert port 137, eller om det også dukker opp andre varianter. Legg beskjed hvis du ser endringer.

En Linux firewall/router foran Windows maskinen hadde heller ikke vært dumt.
Avatar billede langbein Nybegynder
17. december 2002 - 15:15 #12
192.168.188.79  Jeg snakker tull .. dette er jo en intern ip adresse !!!
Dette tyder jo på at "angrepet" mest sannsynlig kommer fra egen lokal LAN !!
Hvordan er din internettilkopling ? Hvilke andre PC eller servere kjører på lan ?? Hva slags funksjoner finnes det på lan ? Mon det allikevell kan dreie seg om mere regulær trafikk ??
Avatar billede johnstigers Seniormester
17. december 2002 - 19:26 #13
Jeg tror det drejer sig om regulær trafik...

langbein> ja den IP-adresse er mig bekendt :)
Avatar billede johnstigers Seniormester
17. december 2002 - 19:28 #14
P.s. "angrebene" er stilnet gevaldigt af på det seneste....
Avatar billede langbein Nybegynder
17. december 2002 - 20:32 #15
Takker for ponits !
Men dette var da ganske pussig. Port 137 er kjent som den mest vanlige port for hacker angrep, http://www.dshield.org  og så ser det ut som om "angrepet" kommer fra en av de andre maskinene på LAN. Hvor mange PC'er finnes der på lan ? Finnes der mulige intrudere ? (Tviler på at trafikken har vært 100 % "regulær") Hva slags internettdeling er det snakk om ??
Legger du et par opplysninger, synes dette var litt interessant !! :-)
Avatar billede langbein Nybegynder
17. december 2002 - 20:41 #16
Tja ... Hva skal man tro ??
http://www.dshield.org/port_report.php?port=137
Avatar billede langbein Nybegynder
17. december 2002 - 20:46 #17
Ip pakkene som du har lagt ut beskrivelse av i utskriften ser da ut til å ha spoofede dvs forfalskede avsender adresser. Dette oppstår da ikke som følge av normal trafikk !!?? (Det øvrige kunne kanskje passere.) Ville være moro med litt mere info !!!
Avatar billede langbein Nybegynder
17. december 2002 - 20:48 #18
http://www.dshield.org/topports.html
(Synes dette med sikkerhet og slike ting er ganske interesant og bruker litt tid på dette. Min "hobby".)
Avatar billede langbein Nybegynder
17. december 2002 - 20:53 #19
213.66.252.217
217.208.34.183
217.209.205.131

Se på denne variasjonen i avsender ip. IP-spoofing - typisk for et hacker angrep vil jeg mene. Med mindre routeren er satt opp til å forwarde trafikk til din maskin og med mindre extern hacker ikke har tatt kontroll over routeren så bør dette hacker angrepet eller hva det dreier seg om komme fra dine naboer på din lokale LAN.
Avatar billede langbein Nybegynder
17. december 2002 - 21:00 #20
http://www.dshield.org/ports/port137.html

Så viss det ikke hadde vært for den ip-spoofing .. med variasjon i ipadresser.
Det behøver vel egentlig heller ikke ha vært bruke et egentlig angreps verktøy, det kan vel like godt ha dreid seg om en portscanner, men den variasjon i avsender ip ..... hmm ..
Avatar billede langbein Nybegynder
17. december 2002 - 21:03 #21
http://isc.incidents.org/
Avatar billede langbein Nybegynder
17. december 2002 - 21:05 #22
http://isc.incidents.org/analysis.html?id=170
Avatar billede langbein Nybegynder
17. december 2002 - 21:07 #23
"We now believe that these port 137 scans are due to the 'Bugbear'
mass mailing virus and the 'Scrup' worm."

Konklusjon: Det ser mest av alt ut som om en av de andre maskinene på ditt lan har blitt utsatt for en virus eller trojan og at den har sendt ut div trafikk.
Avatar billede johnstigers Seniormester
17. december 2002 - 22:08 #24
Sjovt nok... Jeg kører ikke lan - men stofanet vi kabelmodem....
Avatar billede johnstigers Seniormester
17. december 2002 - 22:08 #25
og der er kun denne maskine.
Avatar billede langbein Nybegynder
17. december 2002 - 22:46 #26
Ennå mere pussig synes jeg.  ip: 192.168.188.79
Vil det si at stofanet deler en felles ekstern ip på flere brukere ?
Virus / trojan kunne enten ligge på din egen maskin eller på en av stofanet sine "nabomaskiner". ip 192.168.188.79 er da ikke den type ip man pleier å få tildelt dersom man utenfor routeren sitter på en egen ekstern ip, eller har du konfigurert på denne spessielle måte ??
Avatar billede djernaes Nybegynder
18. december 2002 - 18:07 #27
John,

Nu kan jeg ikke helt finde ud af om ZoneAlarm logger Src,Dest eller Dst,Src men alligevel har jeg et par kommentare til dig/jer:

FWIN,2002/12/10,21:28:36 +1:00 GMT,217.208.237.237:0,192.168.188.79:0,ICMP (type:3/ subtype:3)

Betyder at den fjerne port ikke var tilgængelig. Her ville det have været rart at se de nogle flere bytes inde i ICMP pakken (kan ZoneAlarm det?).

Det betyder som regel at du har forsøgt at forbinde til 217.208.237.237 (som er en Telia kunde), men den port du ville kontakte findes ikke.

FWIN,2002/12/11,18:28:29 +1:00 GMT,194.255.251.226:58691,192.168.188.79:21,TCP (flags:S)

Det her irretere mig lidt mere. Du har IP 192.168.188.79 (ikke), hvilket er det man kalder en private IP adresse. Det siger mig at du eller Stofa køre med NAT et eller andet sted mellem "Internettet" og din maskine. Hvis det er tilfældet kan man ikke ude fra åbne nye forbindelser ind til din maskine, med mindre en eller anden har lavet en "port forwarding" i NAT gatewayen/routeren (har du det?). Linien oven for beskriver et forsøg på at åbne en TCP forbindelse fra 194.255.251.226 (en anden telia kunde) til din maskine (har du FTP kørende på din maskine)

FWOUT,2002/12/10,23:03:09 +1:00 GMT,192.168.188.79:27244,194.251.249.103:27243,UDP
FWOUT,2002/12/11,13:16:21 +1:00 GMT,192.168.188.79:27244,194.251.249.103:27243,UDP

Du har nogle stikker af disse. Spiller du? Det kunne se ud til at du har brugt en spil server i Finland.

Jeg har ikke været alle dine log linier igennem, men som jeg ser det er der mangel "fejl" og meget baggrundsstøj i din log. De fleste af disser er OK (ICMP type 3 bør ikke blokkes).

Martin
Avatar billede johnstigers Seniormester
18. december 2002 - 18:14 #28
detv må være stofa der kører med NAT for jeg gør ikke...

Har heller ikke lavet nogen forward....

Og nej, er klar over at den blokerer for meget - bl.a. blokerer den for Ping på DNS-serveren (212.10.24.252) så jeg bliver smidt af nettet konstant...
Avatar billede djernaes Nybegynder
18. december 2002 - 18:27 #29
Hvad mener du med "smidt af nettet", Du har en "always-on" forbindelse så du kan ikke smides af.

Prøv lige at "ping home.djernaes.dk"

Martin
Avatar billede johnstigers Seniormester
18. december 2002 - 18:39 #30
Pinger home.djernaes.dk [12.232.113.223] med 32 byte data:

Svar fra 12.232.113.223: byte=32 tid=256ms TTL=237
Svar fra 12.232.113.223: byte=32 tid=231ms TTL=237
Svar fra 12.232.113.223: byte=32 tid=198ms TTL=237
Svar fra 12.232.113.223: byte=32 tid=193ms TTL=237

Ping-statistikker for 12.232.113.223:
    Pakker: Sendt = 4, modtaget = 4, tabt = 0 (0% tab),
Beregnet tid for rundtur i millisekunder:
    Minimum = 193ms, Maksimum = 256ms, Gennemsnitlig = 219ms
Avatar billede johnstigers Seniormester
18. december 2002 - 18:39 #31
jeg bruger en connector og det er den der pinger.
Avatar billede djernaes Nybegynder
18. december 2002 - 18:51 #32
En "connector" - hvad er det?

Din eksterne ip er "212.10.124.79" og du svare ikke (rigtigt) på ping.
Den eksterne ip har ingen åbne porte (derfor forstår jeg ikke ret meget af den der ftp forbindelse).

Kan du lave en "tracert home.djernaes.dk" fra din pc? (ikke fra connectoren)

Martin
Avatar billede johnstigers Seniormester
18. december 2002 - 19:28 #33
ja - men er nødt til at give både ping.exe og tracert.exe adgang til nettet først :)

Sporer rute til home.djernaes.dk [12.232.113.223]
over et maksimum af 30 hop:

  1    9 ms    9 ms    7 ms  10.0.207.254
  2    13 ms    9 ms    9 ms  212.10.24.3
  3    13 ms    10 ms    10 ms  aalb-inet-gw.backbone.stofanet.dk [212.10.24
]
  4    12 ms    11 ms    13 ms  194.255.55.145
  5    15 ms    15 ms    17 ms  dk-osd-b2-geth1-0-core.orestad.dk.telia.net
.255.238.227]
  6    15 ms    16 ms    16 ms  kbn-osd-i1-geth14-0.telia.net [213.248.66.73
  7    22 ms    25 ms    21 ms  kbn-bb1-pos1-3-0.telia.net [213.248.64.25]
  8  101 ms  100 ms  100 ms  nyk-bb1-pos2-0-0.telia.net [213.248.64.110]
  9  123 ms  119 ms  125 ms  chi-bb1-pos0-1-0.telia.net [213.248.80.6]
10  118 ms  115 ms  114 ms  at-t.telia.net [213.248.84.70]
11  122 ms  122 ms  126 ms  gbr3-p50.cgcil.ip.att.net [12.123.5.146]
12  162 ms  164 ms  159 ms  gbr3-p30.sffca.ip.att.net [12.122.2.150]
13  155 ms  156 ms  156 ms  gbr6-p60.sffca.ip.att.net [12.122.5.149]
14  157 ms  158 ms  160 ms  gar3-p370.sffca.ip.att.net [12.123.13.161]
15  173 ms  201 ms  176 ms  12.244.72.201
16  177 ms  175 ms  174 ms  12.244.67.81
17  170 ms  170 ms  168 ms  12.244.67.77
18  169 ms  170 ms  175 ms  12.244.97.167
19  191 ms  179 ms  189 ms  12-232-113-223.client.attbi.com [12.232.113.


Sporing fuldført.
Avatar billede johnstigers Seniormester
18. december 2002 - 19:29 #34
altså det med connectoren: det er bare et program jeg logger på stofanet med - det skal man nemlig med stofanet, så det er knapt nok en "always-on" forbindelse :)
Avatar billede langbein Nybegynder
18. december 2002 - 21:15 #35
"Nu kan jeg ikke helt finde ud af om ZoneAlarm logger Src,Dest eller Dst,Src"

Fra utskrift:

"ZoneAlarm Logging Client v2.6.362
Windows NT-5.1.2600--SP
type,date,time,source,destination,transport"

Ellers:

" FWIN,2002/12/10,21:28:36 +1:00 GMT,217.208.237.237:0,192.168.188.79:0,ICMP (type:3/ subtype:3)

Betyder at den fjerne port ikke var tilgængelig. Her ville det have været rart at se de nogle flere bytes inde i ICMP pakken (kan ZoneAlarm det?).

Det betyder som regel at du har forsøgt at forbinde til 217.208.237.237 (som er en Telia kunde), men den port du ville kontakte findes ikke. "

Tolker dette akkurat motsatt. Dette er trafikk utenfra som forøker å komme inn. Avsender adressene er forfalsket mens mottaker adressen ligger fast,
ip 192.168.188.79

Har ikke patent på sannheten, men tror det er slik. Ellers interesant diskusjon !! Er på jobb og vil se på problemstillingen senere i kveld eller i morgen :-)
Avatar billede langbein Nybegynder
18. december 2002 - 23:59 #36
Ved ordinær pinging fra Linux ip 192.168.0.1 til Windows ip 192.168.0.2 så ser entries i Zone alarm log på windows slik ut (testet akkurat nå):

FWIN,2002/12/19,23:46:23 +1:00 GMT,192.168.0.1:0,192.168.0.2:0,ICMP (type:8/subtype:0)

Det er altså ingen tvil om at det er avsender adressen som står til venstre og mottaker adressen til høyre. Det bør heller ikke være tvil om (tror jeg) at utskriften helt på top i dette spørsmålet inneholder irregulære ting som har noe med forsøk på hacking eller trojanske hester å gjøre.
Avatar billede djernaes Nybegynder
19. december 2002 - 00:04 #37
"FWIN,2002/12/10,21:28:36 +1:00 GMT,217.208.237.237:0,192.168.188.79:0,ICMP (type:3/ subtype:3)"
Source IP: 217.208.237.237
Destination IP: 192.168.188.79
ICMP Type 3/3: Port unreachable
---
Alt i alt "217.208.237.237" fortæller "192.168.188.79" at en port ikke er der. Der er der ikke noget ualmindeligt i.

langbein, du ser spøgelser hvor der ingen er. Hvis du kigger loggen igennem så vil du se at john_stigers f.eks. har programmer kørende i forbindelse med netværks spil. Jeg vil væde med at han har forsøgt (på lovligvis vha klientprogrammer) at forbinde sig til disse fjerne IP adresser. De svare så at der ikke er nogen hjemme.

Martin
Avatar billede djernaes Nybegynder
19. december 2002 - 00:45 #38
john_stigers,

1  9 ms  9 ms  7 ms 10.0.207.254
2  13 ms  9 ms  9 ms 212.10.24.3

Vi ser tydeligt her at stofa gæmmer dig bag en NAT. Jeg kan se i min log at den offentlige IP (lige nu) er "212.10.124.79" og du siger at "192.168.188.79" er din IP.

Lad mig prøve at gå igennem din log fil:

** Jeg har slettet ICMP Type 3/* da jeg ikke mener at det er relervant
** jeg har samlet dem der høre sammen samt slettet nogle som har de samme karaktiristikker.

** Her kommet de programmer som vil have net adgang
PE,2002/12/10,21:21:34 +1:00 GMT,ZoneAlarm Pro,209.122.173.160:80,N/A
** ZA vil have adgang til en ZA server :-(
PE,2002/12/10,21:21:40 +1:00 GMT,CableConnect MFC Application,192.168.30.2:259,N/A
** Din forbindelse
PE,2002/12/10,21:22:07 +1:00 GMT,Generic Host Process for Win32 Services,212.10.24.252:53,N/ A
** Vil have adgang til DNS
PE,2002/12/10,21:25:10 +1:00 GMT,Outlook Express,212.10.30.233:110,N/A
** Mail
PE,2002/12/10,21:27:56 +1:00 GMT,The All-Seeing Eye,212.10.30.239:27015,N/A
** Spil program??
PE,2002/12/10,21:30:32 +1:00 GMT,ICQ,0.0.0.0:0,N/A
PE,2002/12/10,21:31:10 +1:00 GMT,BPFTP Server for Internet.,0.0.0.0:0,N/A
** En FTP server!!
PE,2002/12/10,21:32:42 +1:00 GMT,CounterStrike Launcher,0.0.0.0:0,N/A
** Spil!
PE,2002/12/10,23:23:03 +1:00 GMT,msn,127.0.0.1:2174,N/A
PE,2002/12/11,11:51:33 +1:00 GMT,,0.0.0.0:0,N/A
PE,2002/12/11,13:02:45 +1:00 GMT,TCP/IP Ping-kommando,195.184.98.141:0,N/A
PE,2002/12/11,13:31:19 +1:00 GMT,,212.10.10.4:53,N/A
** DNS
PE,2002/12/11,14:20:45 +1:00 GMT,Generic Host Process for Win32 Services,0.0.0.0:0,N/A
PE,2002/12/11,14:20:53 +1:00 GMT,,0.0.0.0:0,N/A
PE,2002/12/11,17:58:48 +1:00 GMT,,0.0.0.0:0,N/A


** der er en bunke udp pakker a la den her:
FWIN,2002/12/10,21:26:00 +1:00 GMT,211.191.122.23:1025,192.168.188.79:137,UDP
** Hvis jeg var dig ville jeg blokke alle former for MS netværk for både
** UDP og TCP


** der er nogle forsøg på tcp forbindelser til 445 (ms-dns)
FWIN,2002/12/10,21:31:11 +1:00 GMT,68.80.238.72:2033,192.168.188.79:445,TCP (flags:S)


** Kontrol message: Time Exceeded - er helt almindelig
FWOUT,2002/12/10,21:29:59 +1:00 GMT,192.168.188.79:0,217.157.165.233:0,ICMP (type:11/ subtype:1)

** Det er ville være det eneste jeg ville bekymre mig om!
** Det er ikke normalt at sende med src/dst udp port 0
FWIN,2002/12/10,21:29:25 +1:00 GMT,130.67.113.196:0,192.168.188.79:0,UDP
FWIN,2002/12/10,21:30:23 +1:00 GMT,217.208.34.183:0,192.168.188.79:0,UDP
FWIN,2002/12/10,21:30:29 +1:00 GMT,217.157.165.233:0,192.168.188.79:0,UDP
FWIN,2002/12/10,23:02:12 +1:00 GMT,80.196.163.235:0,192.168.188.79:0,UDP
FWIN,2002/12/10,23:03:01 +1:00 GMT,217.157.165.233:0,192.168.188.79:0,UDP
** 196.113.67.130.in-addr.arpa domain name pointer ti131110a060-0068.dialup.online.no.
** 183.34.208.217.in-addr.arpa domain name pointer h183n2fls33o926.telia.com.
** 233.165.157.217.in-addr.arpa domain name pointer port478.ds1-suoe.adsl.cybercity.dk.
** 235.163.196.80.in-addr.arpa domain name pointer 0x50c4a3eb.adsl-fixed.tele.dk.

** Her forsøger du at kontakte DNS serveren
FWOUT,2002/12/10,21:30:36 +1:00 GMT,192.168.188.79:1736,212.10.24.252:53,UDP
FWOUT,2002/12/10,22:39:55 +1:00 GMT,192.168.188.79:1736,212.10.24.252:53,UDP
FWOUT,2002/12/10,23:03:24 +1:00 GMT,192.168.188.79:1736,212.10.24.252:53,UDP
FWOUT,2002/12/11,13:01:59 +1:00 GMT,192.168.188.79:1029,212.10.24.252:53,UDP
FWOUT,2002/12/11,13:02:44 +1:00 GMT,192.168.188.79:1029,212.10.10.4:53,UDP
FWOUT,2002/12/11,13:16:38 +1:00 GMT,192.168.188.79:1029,212.10.24.252:53,UDP

** Det her er det jeg kalder baggrundsstøj. En eller anden kigger om du har
** sunos rpc enabled (kan bruges til at hacke en unix/linux maskine)
sunos rpc FWIN,2002/12/10,21:58:18 +1:00 GMT,193.220.101.107:4474,192.168.188.79:111,TCP (flags:S)


** Dit program "The All-Seeing Eye" leger:
FWOUT,2002/12/10,22:45:19 +1:00 GMT,192.168.188.79:27244,194.251.249.103:27243,UDP
FWOUT,2002/12/10,23:03:09 +1:00 GMT,192.168.188.79:27244,194.251.249.103:27243,UDP
FWOUT,2002/12/11,13:16:21 +1:00 GMT,192.168.188.79:27244,194.251.249.103:27243,UDP

** Her er der sikkert igen baggrundsstøj. En eller anden ville gerne ind på
** en web server
http: FWIN,2002/12/10,22:51:33 +1:00 GMT,61.221.171.188:55844,192.168.188.79:80,TCP (flags:S)
https: FWIN,2002/12/11,18:04:47 +1:00 GMT,211.176.251.189:1433,192.168.188.79:443,TCP (flags:S)


** Igen baggrunsstøj (jeg er ikke 100% sikker men det burde være IPsec key negotiation)
FWIN,2002/12/11,13:12:36 +1:00 GMT,137.229.232.86:500,192.168.188.79:500,UDP

** Støj: En kigger om der køre en SM SQL server (som kan hackes)
FWIN,2002/12/11,14:30:16 +1:00 GMT,63.198.128.240:4767,192.168.188.79:1433,TCP (flags:S)

** Støj: En kigger om der er en Telnet server
FWIN,2002/12/11,14:37:03 +1:00 GMT,218.238.229.204:3712,192.168.188.79:25,TCP (flags:S)

** Støj: En kigger om der er en FTP Server
FWIN,2002/12/11,18:28:29 +1:00 GMT,194.255.251.226:58691,192.168.188.79:21,TCP (flags:S)


** Dette burde være en der bruger Linux til tarceroute (porten er
** default værdien i linux)
FWIN,2002/12/11,13:12:43 +1:00 GMT,66.79.159.83:11750,192.168.188.79:33435,UDP


** **
Som du kan se er det ikke nødvendigvis noget problem. Faktisk kan næsten alt forklares. Der er lidt "støj", men det skal du regne med! Vi kan ikke gøre andet ved det end at sørge for at vores systemer ikke har nogle store huller.

EOF

Martin
Avatar billede langbein Nybegynder
19. december 2002 - 00:56 #39
Hmm .. interesant diskusjon. Det som jeg stusser en hel del på det er at det kommer en hel sverm av ICMP type 3 fra mange forskjellige steder samtidig. Da er det jo ikke en port men der i mot en hel server eller faktisk en hel samling med servere som ikke er der samtidig dersom dette ikke dreier seg om spoofede pakker, som det vel i teorien også kan være.

På den annen side, dersom john_stigers faktisk har i gang spill og eller fildelingstjenester som initierer en hel del forbindelser som så plutselig ikke er der, for eksempel etter ny pålogging. Vil forsøke å kikke litt grundigere på utskriften :-)

Men hva skags spill er det da som initierer ICMP pakker og trafikk på port 137 via wan/internett ??? Hvilke spill er nå dette ??

Mønstret i utskriften til john_stigers synes jeg har i seg en del av det som kanskje kan være typisk for utbredelsesmekanismen for en del trojanske hester, ville jeg tro.

Spøkelser, og spøkelser ... Trojanske hester, viruser og ormer er vel ikke akkurat spøkelser, men der i mot noe ganske vanlig og ordinært som alle med internetttilkopling vanligvis og til tider vil bli utsatt for.

Selvfølgelig så vil det også kunne forekomme ordinære trafikkmønstre som vil kunne likne til forveksling.

djaernaes -> Dersom, og når det dreier seg om et angrep eller forberedelsene til et angrep som det jo finnes en hel del av på internett, hver dag og hele tiden, hvordan mener du da at mønstret i ip pakkene da ville se ut ? Hva vil være den typiske forskjellen i forhold til det som er over ??
Avatar billede langbein Nybegynder
19. december 2002 - 00:57 #40
Så ikke den siste før min kommentar. Vil kikke gjennom ..
Avatar billede langbein Nybegynder
19. december 2002 - 01:11 #41
Endelig en skikkelig bra diskusjon på eksperten !!
Vil forsøke å lage en detaljgjennomgang av utskriften med kommentarer, men i morgen ikke i snat :-)
Avatar billede djernaes Nybegynder
19. december 2002 - 01:26 #42
langbein,

Du skriver:
"Men hva skags spill er det da som initierer ICMP pakker og trafikk på port 137 via wan/internett ??? Hvilke spill er nå dette ??"

Internet protokollerne har denne funktion bygget ind. Hvis du sender en "TCP open" til en host (Windows, Linux, ..) og denne port ikke findes så vil hosten svarre tilbage med en "port unreachable". Andre ligende er f.eks. hvis en router pludselig ikke ved hvordan den skal sende pakken videre, så vil den sende en ICMP "network unreachable" tilbage. Der er en mænge af disse gode fejlmeddelser.

Du spørger også hvordan et angreb vil se ud. Det er svært at sige. Et godt angreb er et du ikke ser! Brug f.eks. netstat, system log filer osv til at se at noget har ændret sig. Ofte vil du også se nogle scan (som john_stigers ser)inden selve "angrebet" sættes ind. Jeg vil sikkert kigge lidt hvis jeg bliver skannet på mange porte fra samme source IP.

Du snakker om spoofede source IP adresser. Der er i bund og grund kun to grunde til at gøre det.
1. Jeg vil fylde john_stigers internet forbindelse med så meget data at han ikke kan lave andet, men jeg vil ikke fortælle hvem jeg er (det var ikke tilfældet her)
2. Jeg kan ikke lide "Host A", så jeg bruger hans IP som source IP og sender nogle pakker til en hel masse hosts på nettet som så vil sende et svar tulbage til "Host A". Det er næsten umuligt at sige om du er en af disse "reflektore", men for dig er det heller ikke det store problem. I john_stigers tilfælde tror jeg ikke at det er tilfældet da han ikke har gentagelser i IP adresserne.

Du skal tænke på en ting. Der er en del baggrundsstøj på nettet, men der er faktisk mere "legal" traffik som den almindelige bruger ikke ser og ikke ander hvad er. Det er ofte et problem når en alm. person begynder at putte firewalls op, for han aner ikke hvad "ICMP 3/3" betyder.

Martin
Avatar billede langbein Nybegynder
19. december 2002 - 12:16 #43
john_stigers -> Kunne du være så snill å bidra med et par små opplysninger til:

1. Hvordan ser den fysiske koplingen til kabelnettet ut, er det bare en plugg i veggen noenlunde likt med tilkopling for tv eller en det snakk om en boks som kan likne på et modem eller noe slikt, med egen baterieleminator / strømforsyning og slikt ? I så fall hvilket fabrikkmerke / modell ?

2. Er det korekt at du hadde i gang spill eller fildelingsprogrammer på det tidspunkt at entries i loggen din oppstod ? Hvilke spill eller fildelingsprogrammer var dette i så fall ??

Det ville være veldig interessant å gå disse problemstillingenen litt etter i sømmene, for dette dreier seg jo sånn sett ikke bare om dette enkle tilfellet, men litt prinsipper rundt tolkning av log entries fra firewall log. Videre så ligger det også i problemstillingen en del interesante problemstillinger vedrørende forskjellige måter å sette opp en delt internettforbindelse på.

Ønker å se litt nærmere på dette og også eventuelt gjennomføre et par små lab forsøk for å sjekke opp et par av problemstillingene. Ikke på grunn av at jeg mener å kunne så mye om dette eller fordi jeg absolutt skal ha rett, tvert i mot vil jeg si, på grunn av det som jeg ikke vet og fordi det er interessant å lære mer.

djaernes -> Synes at du har veldig mange gode og argumenter som gir grunn til ettertanke og som bidrar til å kaste en hel del lys over problemstillingene. Vet der i mot ikke, foreløpig, om jeg synes det er innlysende klart at din argumentasjon leder fram til en entydig konklusjon slik som beskrevet

Vil i første omgang lage en utprinting og så gå gjennom problemstillingene, for nå begynner det å bli vanskelig å lese på skjerm.

Håper at john_stiger følger opp med noen flere opplysninger !! :-)
Avatar billede langbein Nybegynder
19. december 2002 - 15:36 #44
john_stigers -> Ser at en del av ip'ene ser ut til å stamme fra sverige, i hvert fall tilsynelatende, en del ser ut til å være fra andre steder, Nederland, Norge, Egypt osv

På det tidspunkt loggen ble laget deltok du i spill eller fildeling med personer fra disse landene ??
Avatar billede johnstigers Seniormester
19. december 2002 - 19:46 #45
langbein> ok her er nogle oplysninger :)

1. det er via kabelmodem som har egen strømforsyning - signal kommer fra antennestik i væggen.

2. har faktisk gang i Counter Strike en smule - men intet fildeling. Det gider jeg simpelthen ikke - det er sjovere at eje sit software selv :)
Avatar billede johnstigers Seniormester
19. december 2002 - 19:47 #46
ja deltog i spil på nogle få servere i Sverige el. Norge - Spiller KUN på servere i Sverige, Norge, Finland eller danmark.
Avatar billede langbein Nybegynder
19. december 2002 - 20:47 #47
Takker for opplysninger. De hjelper en hel del. Vil forsøke å kikke litt bedre inn på saken. Jeg er ikke sikker på hvilke port/protokoll conterstrike kjører, men vil forsøke å finne ut av det !! :-)
Avatar billede langbein Nybegynder
19. december 2002 - 20:53 #48
Et par små spørmål til:

1. Dersom du går inn i dos vindu og taster kommando "ipconfig" hvilke opplysninger kan du da lese (er interessert i alle sammen ikke bare ip adressen.)

2. Dersom du går inn på denne web siden: http://www.myip.dk
Hvilken ip leser du da ??

3. Kan du kjøre tracert en gang til, slik som tidligere, slik om vi kan sjekke om dine lokale data fortsatt er de samme ?!
Avatar billede johnstigers Seniormester
19. december 2002 - 21:17 #49
counterstrike kører på port 27015

1. C:\Documents and Settings\John Stigers.HJEMME-BSHRYHAR>ipconfig

Windows IP-konfiguration


Ethernet-netværkskort LAN-forbindelse:

      Forbindelsesspecifikt DNS-suffiks. . . . . . :
      IP-adresse . . . . . . . . . . . . . . . . . : 192.168.188.79
      Undernetmaske. . . . . . . . . . . . . . . . : 255.255.255.0
      Standardgateway. . . . . . . . . . . . . . . : 192.168.188.254

2. 212.10.124.79

3. C:\Documents and Settings\John Stigers.HJEMME-BSHRYHAR>tracert home.djernaes.dk

Sporer rute til home.djernaes.dk [12.232.113.223]
over et maksimum af 30 hop:

  1    9 ms    11 ms    7 ms  10.0.207.254
  2    8 ms    10 ms    8 ms  212.10.24.3
  3    11 ms    10 ms    9 ms  aalb-inet-gw.backbone.stofanet.dk [212.10.24.254
]
  4    10 ms    9 ms    10 ms  194.255.55.145
  5    15 ms    15 ms    15 ms  dk-osd-b2-geth1-0-core.orestad.dk.telia.net [194
.255.238.227]
  6    13 ms    16 ms    18 ms  kbn-osd-i1-geth14-0.telia.net [213.248.66.73]
  7    15 ms    15 ms    15 ms  kbn-bb1-pos1-3-0.telia.net [213.248.64.25]
  8    97 ms  102 ms  106 ms  nyk-bb1-pos2-0-0.telia.net [213.248.64.110]
  9  121 ms  124 ms  124 ms  chi-bb1-pos0-1-0.telia.net [213.248.80.6]
10  115 ms  122 ms  119 ms  at-t.telia.net [213.248.84.70]
11  120 ms  147 ms  123 ms  gbr3-p50.cgcil.ip.att.net [12.123.5.146]
12  162 ms  164 ms  162 ms  gbr3-p30.sffca.ip.att.net [12.122.2.150]
13  157 ms  163 ms  157 ms  gbr6-p60.sffca.ip.att.net [12.122.5.149]
14  155 ms  154 ms  178 ms  gar3-p370.sffca.ip.att.net [12.123.13.161]
15  175 ms  172 ms  174 ms  12.244.72.201
16  171 ms  172 ms  179 ms  12.244.67.81
17  173 ms  165 ms  196 ms  12.244.67.77
18  169 ms  182 ms  169 ms  12.244.97.167
19  178 ms  199 ms  188 ms  12-232-113-223.client.attbi.com [12.232.113.223]


Sporing fuldført.
Avatar billede langbein Nybegynder
19. december 2002 - 22:48 #50
Takker for info. Vil bruke litt tid på å gå gjennom det hele. Legger så beskjed.

En ting inntil videre: djaernes konklusjon om at det er i bruk en "ytre" nat funksjon ser i alle fal ut til å være riktig. Jeg lurer også på om det kan være i bruk en proxy, dvs et "mellomlager" for data a la Squid i Linux, men det er jeg ikke sikker på.

Dette vil i praksis si at Stofanet i prinsipp organiserer en hel boligblokk eller et boretslag som et LAN, Det vil si at hele boligblokken nærmest er organisert som en offentlig skole med en PC i hvert klasserom, der hele trafikken kjører ved hjelp ev et felles Lan ved hjelp av felles delt ekstern ip.

Dette vil jo da gi noen helt spesielle sikkerhetsmessige problemstillinger. I prinsipp så vil jo PC'ene på Stofanet ha en ganske bra beskyttelse mot inntrengere fra det ytre internett. Når det gjelder beskyttelse mot naboer eller de øvrige som kjører på det samme "lansegment" så er vel situasjonen en helt annen. Det samme gjelder vel også i forhold til trojanere og slike ting som måtte befinne seg hos en av ens "naboer på lan".
Avatar billede langbein Nybegynder
20. december 2002 - 00:37 #51
Hendelse 1:

*** Først så starter zone alarm ..

PE,2002/12/10,21:21:34 +1:00 GMT,ZoneAlarm Pro,209.122.173.160:80,N/A

*** Pålogging ..
PE,2002/12/10,21:21:40 +1:00 GMT,CableConnect MFC Application,192.168.30.2:259,N/A
PE,2002/12/10,21:22:07 +1:00 GMT,Generic Host Process for Win32 Services,212.10.24.252:53,N/A

**** Outlook express starter

PE,2002/12/10,21:25:10 +1:00 GMT,Outlook Express,212.10.30.233:110,N/A
FWIN,2002/12/10,21:26:00 +1:00 GMT,211.191.122.23:1025,192.168.188.79:137,UDP

*** Så sterter "All seeing eye" Alle eksterne ip'er så langt stofa net sine ip
*** Hva er dette slags program ? Noe her ?:
*** http://www.netalive.org/run/topics/2605?find=3819

PE,2002/12/10,21:27:53 +1:00 GMT,The All-Seeing Eye,212.10.30.239:27015,N/A
PE,2002/12/10,21:27:56 +1:00 GMT,The All-Seeing Eye,212.10.30.239:27015,N/A
 
*** Så starter en skog av ICMP type 3. Tenkte først på infiserte vedlegg til
*** Outlook Express. Mon det i stedet skyldes en eller annen automatisk
*** påloggingsfunksjon for Counterstrike ??

FWIN,2002/12/10,21:28:36 +1:00 GMT,217.208.237.237:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:38 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:39 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:40 +1:00 GMT,213.64.128.145:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:41 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:44 +1:00 GMT,213.65.48.112:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:45 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:46 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:47 +1:00 GMT,213.64.194.79:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:48 +1:00 GMT,217.209.204.182:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:48 +1:00 GMT,80.160.16.38:0,192.168.188.79:0,ICMP (type:3/subtype:1)
FWIN,2002/12/10,21:28:50 +1:00 GMT,217.208.237.237:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:52 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:58 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:28:58 +1:00 GMT,213.64.128.145:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:29:00 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:29:07 +1:00 GMT,213.65.48.112:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:29:10 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:29:12 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:29:25 +1:00 GMT,130.67.113.196:0,192.168.188.79:0,UDP
FWIN,2002/12/10,21:29:25 +1:00 GMT,217.211.45.216:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWOUT,2002/12/10,21:29:59 +1:00 GMT,192.168.188.79:0,217.157.165.233:0,ICMP (type:11/subtype:1)
FWIN,2002/12/10,21:29:59 +1:00 GMT,213.67.182.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:30:08 +1:00 GMT,213.64.65.58:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,21:30:23 +1:00 GMT,217.208.34.183:0,192.168.188.79:0,UDP
FWIN,2002/12/10,21:30:29 +1:00 GMT,217.157.165.233:0,192.168.188.79:0,UDP

Tenkte først også på eventuelle naboer som hadde tenkt å aktivisere "fildelingsfunsjoner" via "stofanettlan" og i den forbindelse
port 137. Ingen tegn til det, etter hva jeg kan se. I hvert fall ingen
avsender ip med lan adresser.
Avatar billede langbein Nybegynder
20. december 2002 - 00:47 #52
Hendelse 2:

Så starter Counter strike Launcher:
PE,2002/12/10,21:32:42 +1:00 GMT,CounterStrike Launcher,0.0.0.0:0,N/A

*** Og så følger atter igjen en hel skog av saker og ting:

FWIN,2002/12/10,21:40:20 +1:00 GMT,200.228.54.11:1887,192.168.188.79:445,TCP (flags:S)
FWIN,2002/12/10,21:49:46 +1:00 GMT,169.207.171.15:1027,192.168.188.79:137,UDP
FWIN,2002/12/10,21:51:03 +1:00 GMT,64.25.100.93:1027,192.168.188.79:137,UDP
FWIN,2002/12/10,21:58:18 +1:00 GMT,193.220.101.107:4474,192.168.188.79:111,TCP (flags:S)
FWIN,2002/12/10,22:04:16 +1:00 GMT,24.203.250.147:1029,192.168.188.79:137,UDP
FWIN,2002/12/10,22:09:23 +1:00 GMT,62.251.157.57:1048,192.168.188.79:137,UDP
FWIN,2002/12/10,22:11:28 +1:00 GMT,211.212.72.165:1026,192.168.188.79:137,UDP
FWIN,2002/12/10,22:13:25 +1:00 GMT,200.64.247.19:1028,192.168.188.79:137,UDP
FWIN,2002/12/10,22:14:37 +1:00 GMT,65.219.232.99:40112,192.168.188.79:137,UDP
FWIN,2002/12/10,22:18:35 +1:00 GMT,162.39.36.155:1031,192.168.188.79:137,UDP
FWIN,2002/12/10,22:21:50 +1:00 GMT,131.178.28.243:1027,192.168.188.79:137,UDP
FWIN,2002/12/10,22:27:36 +1:00 GMT,195.175.247.243:1027,192.168.188.79:137,UDP
FWIN,2002/12/10,22:30:32 +1:00 GMT,209.246.133.203:1027,192.168.188.79:137,UDP
FWIN,2002/12/10,22:31:34 +1:00 GMT,80.25.239.214:1025,192.168.188.79:137,UDP
FWIN,2002/12/10,22:33:36 +1:00 GMT,81.10.12.107:1028,192.168.188.79:137,UDP
FWIN,2002/12/10,22:35:45 +1:00 GMT,202.163.247.135:1028,192.168.188.79:137,UDP

FWIN,2002/12/10,22:38:58 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:38:58 +1:00 GMT,62.243.128.223:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:38:59 +1:00 GMT,217.210.250.191:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:38:59 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:00 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:00 +1:00 GMT,213.65.52.98:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:02 +1:00 GMT,200.67.142.74:1084,192.168.188.79:137,UDP
FWIN,2002/12/10,22:39:03 +1:00 GMT,80.196.154.250:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:06 +1:00 GMT,80.196.167.193:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:06 +1:00 GMT,80.196.167.193:34839,192.168.188.79:137,UDP

FWIN,2002/12/10,22:39:07 +1:00 GMT,81.224.128.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:08 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:08 +1:00 GMT,217.208.106.25:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:09 +1:00 GMT,213.64.120.37:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:10 +1:00 GMT,217.211.45.216:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:11 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:12 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:13 +1:00 GMT,194.236.113.184:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:14 +1:00 GMT,217.215.57.127:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:16 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:16 +1:00 GMT,217.209.205.131:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:17 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:18 +1:00 GMT,217.208.44.234:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:19 +1:00 GMT,194.215.210.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:19 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:19 +1:00 GMT,212.181.213.19:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:22 +1:00 GMT,213.66.202.35:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:23 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)

FWIN,2002/12/10,22:39:24 +1:00 GMT,80.196.167.193:34839,192.168.188.79:137,UDP

FWIN,2002/12/10,22:39:24 +1:00 GMT,217.211.45.216:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:25 +1:00 GMT,62.243.128.223:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:25 +1:00 GMT,217.210.250.191:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:25 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:26 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:26 +1:00 GMT,217.209.204.182:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:29 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:31 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:33 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:33 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:33 +1:00 GMT,213.66.202.35:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:33 +1:00 GMT,81.224.128.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:33 +1:00 GMT,194.236.113.184:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:34 +1:00 GMT,80.196.154.250:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:34 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:36 +1:00 GMT,194.215.210.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:36 +1:00 GMT,213.64.120.37:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:37 +1:00 GMT,217.209.205.131:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:38 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:38 +1:00 GMT,217.215.57.127:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:39 +1:00 GMT,217.208.44.234:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:40 +1:00 GMT,213.65.52.98:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:40 +1:00 GMT,80.196.167.193:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:40 +1:00 GMT,217.208.106.25:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:42 +1:00 GMT,81.224.128.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:44 +1:00 GMT,62.243.128.223:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:45 +1:00 GMT,80.196.154.250:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:45 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:46 +1:00 GMT,217.211.45.216:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:46 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:47 +1:00 GMT,217.209.204.182:0,192.168.188.79:0,ICMP (type:3/subtype:3)

FWIN,2002/12/10,22:39:47 +1:00 GMT,80.196.167.193:34839,192.168.188.79:137,UDP

FWIN,2002/12/10,22:39:47 +1:00 GMT,217.215.57.127:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:47 +1:00 GMT,194.236.113.184:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:49 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:50 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:50 +1:00 GMT,217.209.205.131:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:50 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:51 +1:00 GMT,217.210.250.191:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:52 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:52 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:54 +1:00 GMT,213.64.120.37:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:54 +1:00 GMT,212.181.213.19:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:54 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:55 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:55 +1:00 GMT,217.208.44.234:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:55 +1:00 GMT,213.66.202.35:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWOUT,2002/12/10,22:39:55 +1:00 GMT,192.168.188.79:1736,212.10.24.252:53,UDP
FWIN,2002/12/10,22:39:57 +1:00 GMT,62.243.128.223:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:58 +1:00 GMT,81.224.128.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:58 +1:00 GMT,217.209.204.182:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:39:59 +1:00 GMT,80.196.154.250:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:01 +1:00 GMT,217.208.106.25:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:02 +1:00 GMT,81.224.46.47:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:03 +1:00 GMT,217.210.250.191:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:03 +1:00 GMT,213.66.252.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:05 +1:00 GMT,217.215.57.127:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:05 +1:00 GMT,213.64.120.37:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:05 +1:00 GMT,217.209.54.106:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:05 +1:00 GMT,213.114.100.231:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:06 +1:00 GMT,213.64.207.230:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:07 +1:00 GMT,213.66.202.35:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:07 +1:00 GMT,213.66.36.214:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:08 +1:00 GMT,217.209.205.131:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:09 +1:00 GMT,194.236.113.184:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:10 +1:00 GMT,217.211.45.216:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:10 +1:00 GMT,80.196.159.197:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:11 +1:00 GMT,217.215.119.217:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:11 +1:00 GMT,194.215.210.7:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:11 +1:00 GMT,217.208.92.53:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:11 +1:00 GMT,80.196.167.193:0,192.168.188.79:0,ICMP (type:3/subtype:3)
FWIN,2002/12/10,22:40:12 +1:00 GMT,213.65.52.98:0,192.168.188.79:0,ICMP (type:3/subtype:3)


DET ØVRIGE HAR ALLEREDE FÅTT EN DEL OMTALE AV DJAERNES.

TROR VI I ALLE FALL FÅR GI DJAERNES TILSTREKKELIG NOK RETT TIL AT DET VIL VÆRE RETT Å ELEMINERE COUNTERSTRIKE SOM FEILKILDE ELLER ÅRSAK FØR VIDERE FEILSØKING.
HU, HU .. :-)
Avatar billede langbein Nybegynder
20. december 2002 - 01:08 #53
Prinsippielt omkring ip spoofing:

Det finnes jo sider opp og sider ned skrevet om hvordan man forebygger "spoofing" men noen helt eksakt definisjon av hva dette er og hvordan det opptrer i praksis det er ikke så lett å finne.

Vil oppfatte ip spoofing som det å forfalske avsender ip slik at ip pakken framstår å komme fra en annen ip enn det som gjelder i virkelighen, eller eventuelt den kan komme uten ip.

Rent teknisk så skulle dette i hvert fall være mulig å få til.

Hvis man velger å forfalske avsender ip, så skulle man teoretisk kunne forfalske avsender ip til en bestemt ip, eller man skulle kunne generere en eller annen random funksjon enet nut fra virkelige eller konstruerte ip adresser.

Dersom jeg ser en serie med innkommende ip som opptrer samtidig og tilsynelatende uten grunn med mange forskjellige avsender ip, så ville dette i utgangspunktet gjøre meg mistenksom, og jeg ville faktisk se på mangelen på mønster som et mønster. (Dette er noe som normalt ikke skulle kunne skje.)

Vet ikke om dette er rett ??

Dersom man på denne måten eventuelt flooder en pc eller ip adresse med spoofede avsender ip, så ville vel den umiddelbare "ulempe" for hackeren være at han ikke får noen pakker i retur fordi avsender adressen i all enkelhet mangler. I så fall så må han vel nærmest bruke "packing sniffing metoder" for å plukke opp den støy som dette skaper fra et observasjonspunkt i nærheten på lan ?? (Eventuelt så kunne han jo også sende serier med falske pakker der han vekslvis legger inn de ekte slik at den ekte avsender ip druknes i støy ??)
Avatar billede djernaes Nybegynder
20. december 2002 - 03:30 #54
langbein, du har ret når du siger at spoofing er at erstatte source IP/port med en anden værdi end din egen. Længere er den historie ikke.

Spørgsmålet er så: hvad kan man buge det til. Som regel benyttes falske afsender adresser i sammenhæng med DOS attack. Lad os antage at jeg ikke kan lide A (og jeg har hans IP). Jeg ved at A bruger et OS af typen X og at X har et problem med at med at åbne nye TCP forbindelser mens den modtager "for mange" TCP reset beskeder. Hvis jeg vidste alt dette kunne jeg sende TCP pakker ud til tilfældige hosts på nettet, med A's IP som afsender, og alle disse maskiner ville svarre A (på det som jeg sage for ham) uden at nogel ville kunne se at det var mig. På samme tid kan jeg nu udføre det "magiske" tag som gør at jeg kan tage kontrol over A's maskine.

Dette er et total tænkt eksempel for at beskrive hvad "spoofing" kan bruges til. Det normale er dog DOS angreb, da der som regel er nemmere måder (samt nemmer mål) end en der virker på den som jeg beskrev.

Hvis du kigger i john_stigers log ser du f.eks. at der er en der har forsøgt at åbne en TCP forbindelse(*) til port 1422 (MS-SQL). MS SQL server har en bug så hvis du ikke har den sidste service patch til deres SQL server, så kunne de bruge den til at tage kontrol over john_stigers maskine. Nu siger du vel "ja men er det ikke et forsøg på hackning" og mit svar bør være "jo det er det" men pga. at vi ved at der er en del af den slags (automatiske tools der skanner mange ip'er osv) så er det en del af livet og jeg bliver nød til at kalde det "støj".

Martin

*) og fordi jeg ved at han er bagved en NAT så irritere det mig meget(**)
**) Jeg kan kun se en forklaring: Stofa benytter NAT (og ikke PAT som ofte sættes ligmed NAT) hvor en lokal IP bliver knyttet til en ekstern IP. Hvis den eksterne IP bliver skannet kommer de (måske) ind til john_stigers (han sover sikkert nu så jeg kan ikke få bekræftet om hans maskine er online eller ej)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 16:14 Dropbox - oprette mapper Af 1Dorte i Andet software
I dag 13:47 Problemer med en Hvis kodning Af Malou i Excel
I dag 12:34 Dele bærbar PC's wifi/internet med kablet internt net Af mikedk2100 i Andet netværk
I dag 10:31 VBA kode til at navngive ark med dags dato Af golferscaddie i Excel
I går 21:56 Google foto til Icloud Af lurup i Mobiltelefoner
White papers
Flere white papers »


Premium
Teaser billede
Snart vil Google lade dig sende penge gennem Chrome-browseren med ny funktion
Læs mere »
Microsoft skyder tilbage mod flyselskab efter kæmpe-nedbrud: I har ringe infrastruktur
Store ændringer: AWS sender en række løsninger på pension
Kom med indenfor til træning på militært område: Danmarks unge cyberlandshold drømmer om EM-guld til oktober
Se alle »
Computerworld
Teaser billede
10.000 timers ubønhørlig test afslører: Derfor sætter fladskærme ud
Læs mere »
Mercedes’ nye generation af selvkørende biler får det grønne lys: Kan slippes løs på vejene
Guide til det perfekte trådløse netværk: Wi-fi til 'prepper'-typer
Danske virksomheder på stribe er blevet ramt af mystiske cyber-angreb
Se alle »
CIO
Teaser billede
Din Azure-konto kan blive misbrugt til kryptomining - helt uskyldige virksomheder ender med kæmpe-elregning
Læs mere »
Den danske it-kæmpe Atea skifter 1.200 enheder fra Windows 10 til 11: Vil spare tusindvis af arbejdstimer
Microsoft skyder tilbage mod flyselskab efter kæmpe-nedbrud: I har ringe infrastruktur
Store ændringer: AWS sender en række løsninger på pension
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
KMD-direktør forlader selskabet: Det skal hun nu
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Guide: Sådan udvikler du en moderne netværksstrategi
Læs mere »
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »