13. august 2003 - 23:09Der er
13 kommentarer og 1 løsning
TDC portscanner
Jeg har opdaget, at en af TDCs Dns servere scanner nogle af mine porte, hvilke jeg finder yderst mærkeligt.
13. august 2003 22:21:55 Unrecognized access from 194.239.134.83:53 to UDP port 63585 13. august 2003 22:24:09 Unrecognized access from 194.239.134.83:53 to UDP port 63595 13. august 2003 22:25:11 Unrecognized access from 194.239.134.83:53 to UDP port 63601 13. august 2003 22:26:24 Unrecognized access from 194.239.134.83:53 to UDP port 63611 13. august 2003 22:26:42 Unrecognized access from 194.239.134.83:53 to UDP port 63621 13. august 2003 22:26:43 Unrecognized access from 194.239.134.83:53 to UDP port 63621 13. august 2003 22:41:35 Unrecognized access from 194.239.134.83:53 to UDP port 63783 13. august 2003 22:41:57 Unrecognized access from 194.239.134.83:53 to UDP port 63791
Sporer rute til ns3.tele.dk [194.239.134.83]
Nogen der kan forklare, hvorfor dns-serveren prøver at connecte til mig på sådanne et højt portnummer? Btw. så har jeg tdc som udbyder
jeg har ingen problemer med DNS. Jeg checker min firewall log ofte, og har aldrig set det før. Hvorfor skulle dns-serveren oprette en forbindelser til mig. Det er en indgående forbindelse.
En UDP pakke med svar på en DNS-forespørgsel vil selvfølgelig være en indgående forbindelse. Portnummeret er så blot det nummer som din DNS har bedt om at få svar på. En ændring i din firewall opsætning kunne vel være årsagen.
Kan du se www . etstedduikkeharbesøgtlænge . dk ? Dvs. kan du lave et helt nyt DNS-opslag?
min dns virker perfekt. Jeg har en hardware firewall, som er sat til at blokere alt indgående trafik, og det har den gjort det sidste halve år, så ingen ændringer.
Jeg har lige surfet lidt rundt på nogle domainer, som jeg ikke har været inde på før, og jeg kan ikke se nogen klar sammenhæng mellem nye dnsopslag og trafiken.
Tidligere på dagen var der også ligne indgående forbindelser, men fra andre servere og over nogle af dem var over TCP: 13. august 2003 20:18:02 Unrecognized access from 194.239.134.83:53 to UDP port 65235 13. august 2003 20:18:04 Unrecognized access from 194.239.134.83:53 to UDP port 65221 13. august 2003 20:18:19 Unrecognized access from 194.239.134.83:53 to UDP port 65233 13. august 2003 20:18:30 Unrecognized access from 195.41.46.58:53 to TCP port 43956 13. august 2003 20:18:44 Unrecognized access from 195.41.46.71:53 to TCP port 25746 13. august 2003 20:19:19 Unrecognized access from 80.197.50.50:1954 to TCP port 135 13. august 2003 20:19:23 Unrecognized access from 80.197.50.50:1954 to TCP port 135 13. august 2003 20:19:35 Unrecognized access from 195.41.46.58:53 to TCP port 43956 13. august 2003 20:19:49 Unrecognized access from 195.41.46.71:53 to TCP port 25746 13. august 2003 20:20:40 Unrecognized access from 195.41.46.58:53 to TCP port 43956 13. august 2003 20:20:55 Unrecognized access from 195.41.46.71:53 to TCP port 25746
Sporet til bla. ns3r1.inet.tele.dk, ns3r3.inet.tele.dk
Det er næppe TDC der udspionerer dig ;) Men måske er de afsendt med forkert returadresse. Alle kan lave UDP pakker til en DNS server, og "komme til" at skrive forkert retur IP. Og din firewall skal jo se din udgående UDP-pakke, og tillade svaret at komme tilbage, ellers er der ikke meget sjov ved det.
195.41.46.58:53 to TCP port 43956 er mystisk, da DNS sker via UDP, ikke TCP. Så måske en hacker der vil udnytte at en firewall måske er lukket op for port 53.
Jeg prøver lige at holde lidt øje med min firewall log, og hvis der ikke kommer mærkelige forbindelser fra TDC mens min computer er slukket, så må det bare være deres dns, som tripper lidt en gang i mellem.
Jeg får også udp kald fra præcis samme ip, sporet tilbage til ns3.inet.tele.dk mvh humpfrey
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
