CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede foralias Praktikant
17. januar 2006 - 18:36 Der er 17 kommentarer og
2 løsninger

Bliver jeg angrebet

I forbindelse med at jeg skiftede til fast ip adresse, har jeg anskaffet mig en Zywall 2'er.
Da jeg ikke aner meget om sådan noget, vil jeg gerne have noget hjælp til at tyde loggen, som ser sådan her ud:

Source IP              Destination IP        Note                           

71.141.254.2          |min.ip.addresse.her        |ACCESS BLOCK Unsupported/out-of-order ICMP: ICMP(type:3, code:1)
216.56.34.50:31085    |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: TCP (W to W/ZW)
83.117.5.62:56816    |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: UDP (W to W/ZW)
85.165.243.171:21297  |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: UDP (W to W/ZW)
83.216.224.90:33474  |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: UDP (W to W/ZW)
62.243.242.31:7737    |192.168.1.42:2984    |TCP RST Firewall session time out, sent TCP RST
192.168.1.42:2984    |62.243.242.31:7737    |TCP RST Firewall session time out, sent TCP RST
68.2.60.5:1167        |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: TCP (W to W/ZW)
172.208.16.192:49199  |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: UDP (W to W/ZW)
83.59.104.100:2324    |min.ip.addresse.her:6881  |ACCESS BLOCK  irewall default policy: TCP (W to W/ZW)
193.92.231.113:4236  |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: TCP (W to W/ZW)
211.198.109.33:6881  |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: UDP (W to W/ZW)
80.199.204.178:1026  |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: TCP (W to W/ZW)
211.198.109.33:6881  |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: UDP (W to W/ZW)
84.86.175.19:16545    |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: TCP (W to W/ZW)
220.235.161.44:4761  |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: TCP (W to W/ZW)
24.214.255.80:4765    |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: TCP (W to W/ZW)
83.59.104.100:2324    |min.ip.addresse.her:6881  |ACCESS BLOCK Firewall default policy: TCP (W to W/ZW)
83.93.210.114:34578  |192.168.1.42:2981    |TCP RST  Firewall session time out, sent TCP RST
192.168.1.42:2981    |83.93.210.114:34578  |TCP RST  Firewall session time out, sent TCP RST


Hvad er det der foregår, bliver jeg scannet, eller hvad sker der?
Avatar billede boxer Nybegynder
17. januar 2006 - 18:54 #1
Optræder de såkaldte angreb kun mens du bruger et fildelingsprogram?
Langt de fleste er nemlig på port 6881. Tjek hvilken port dit fildelingsprogram har - så tror jeg du finder svaret :o)
Avatar billede foralias Praktikant
17. januar 2006 - 18:59 #2
Jeg prøver lige at deaktivere det, og så vender jeg lige tilbage om 10. min
Avatar billede boxer Nybegynder
17. januar 2006 - 19:11 #3
Ok.

Det vil sikkert stoppe for størstedelen af det, men der vil stadig være noget. Det er ikke unormalt at vi bliver udsat for portscanninger med jævne mellemrum. Men din router forhindrer at nogen får adgang så det skal du ikke bekymre dig om :o)

Har du sørget for at åbne den port i routeren? Så kan det også være derfor. Er porten ikke åbnet vil DL hastigheden være lille.
Sørg for porten kun er åben når du har behov for det. En åben port udgør en reel sikkerhedsrisiko.
Sørg også for at have en softwarefirewall - routerens er ikke nok.

Det kan godt være at der går noget tid inden "angrebene" holder op. Når du har brugt et fildelingsprogram og også har lukket det, går der et stykke tid inden de andre brugere finder ud af det. Derfor vil der blive forsøgt at DL fra dig og de filer du deler.
Avatar billede foralias Praktikant
17. januar 2006 - 19:32 #4
Ja jeg har også en SW firewall. Hvad betyder nogle af de meldinger den kommer med?
Avatar billede foralias Praktikant
17. januar 2006 - 19:33 #5
Jeg får stadig lige mange på port 6881
Avatar billede boxer Nybegynder
17. januar 2006 - 20:08 #6
Er porten åbnet i routerens opsætning?
Avatar billede foralias Praktikant
17. januar 2006 - 20:15 #7
Nej, jeg har et lidt anspændt forhold til åbne porte, da jeg ikke ved hvordan jeg configurere dem korrekt.
Avatar billede boxer Nybegynder
17. januar 2006 - 20:47 #8
Så er det uden tvivl derfor :o)
Når du åbner dit program og begynder at downloade (og andre fra dig), sker der pludselig en masse trafik. Den trafik er jo iorden. Men da din router ikke har åbnet den port som programmet skal bruge, blokerer den trafikken istedet og det er det du kan se i din log.

Jeg prøver lige at finde en guide til åbning af porte i din router.
Fortæl lige hvilken hastighed du kan downloade med?
Avatar billede boxer Nybegynder
17. januar 2006 - 20:50 #9
Der er en engelsk guide her:
http://www.portforward.com/english/routers/port_forwarding/ZyXEL/ZyWall2/Azureus.htm
Der foreslås at du ændrer port i Azureus først og det synes jeg er en god ide.
Avatar billede foralias Praktikant
17. januar 2006 - 20:54 #10
Min forbindelse burde være 4096 DL / 512 UL.
Har du nogen ide om hvad 71.141.254.2|min.ip.addresse.her|ACCESS BLOCK Unsupported/out-of-order ICMP: ICMP(type:3, code:1)
denner entry betyder?
Avatar billede boxer Nybegynder
17. januar 2006 - 21:03 #11
Nej, den er jeg ikke klar over hvad betyder.

Jeg mente hvilke hastighed Azureus kommer op på i DL hastighed?
Avatar billede foralias Praktikant
17. januar 2006 - 21:26 #12
Ok, min hastighed ligger på 6kb DL og 20 kb UL, lige nu.
Men det virker ikke rigtig som om min port er åbnet endnu.
Avatar billede foralias Praktikant
17. januar 2006 - 21:40 #13
Fisk.....
Jeg tror lige jeg tager den i morgen med lidt mere friske øjne.
Avatar billede boxer Nybegynder
17. januar 2006 - 22:02 #14
Du bør kunne DL med 400-450 kb ved fuld udnyttelse. Der er selvfølgelig andre ting der spiller ind såsom antal tilgængelige kilder osv.

Din softwarefirewall skal også give programmet tilladelse. I nogle tilfælde skal der også åbnes porte.

På denne side:
https://www.grc.com/x/ne.dll?bh0bkyd2
kan du teste om porten er åben.
Når du tester skal fildelingsprogrammet være åbent.

Når du følger linket og kommer ind på siden, klikker du på proceed.
Så kommer du til en side hvor du kan vælge nogle forskellige ting.
ca. på midten af siden skriver du den port der skal testes og klikker på:
User specified Custom Port Probe.
Viser testen at porten er åben, vil mange af de ting i din log forsvinde og du vil kunne udnytte fildelingsprogrammet langt bedre.

Husk at der altid vil stå nogle ting i din log. Det kan være portscanninger og/eller fildelere der forsøger at hente dine delte filer.
Jeg får også en del, men det har ikke nogen betydning da routeren sørger for at blokere.
Avatar billede langbein Nybegynder
19. januar 2006 - 15:02 #15
ICMP = ping request.

De log entries som står over betyr sansynligvisingen ting. Noen port scanning er det ikke. (Mange forskjellige avsender ip.)

Entries likenr på det som typisk oppstår dersom man har kjørende for eksempel et spill eller et fildelingsprogram over nettverk som man så stenger (lukker) ned. De PC'ene som man har kommunisert med og som mister forbindelsen vil så forsøke å gjennopprette denne på nytt, og log entries blir slik som de over.

Det er heller ikke sikkert at disse logentries betyr at man skal åpne noen porter. Noen spill og noen fildelingsprogrammer (men ikke alle) kan kjøre med alle porter "lukket". (Dvs at portene holdes åpne fra PC'en på innsiden av firewall.)

Totalt sett så ville jeg ikke sett de logentries som er over som noe problem, de viser bare at firewall fungerer korekt. Man kan jo tenke over om man har hatt i gang et nettverksprogram som man så har stengt ned og som har laget denne trafikken.
Avatar billede langbein Nybegynder
19. januar 2006 - 15:24 #16
Nei dette ser på ingen måte ut som et angrep. Det hele ser ut som normaltrafikk, under visse forhold (Nedstegning av et program tilkoplet ytre klienter.)
Avatar billede foralias Praktikant
27. februar 2006 - 10:22 #17
Tak for hjælpen gutter, i deler point da i begge har hjulpet.
Avatar billede boxer Nybegynder
27. februar 2006 - 10:24 #18
Velbekomme :o)
Avatar billede cyber-system Nybegynder
24. maj 2007 - 16:54 #19
Jeg kan anbefale at du skifter Azureus ud med µTorrent, den er meget bedre den bruger ingen resucer, fylder 1MB og den udnytter din forbindelse fuldt ud, og portforward er en rigtig god guide til bla åbne den rette port og det er også en god ide at køre statisk ip, men det gør du vist allerede, jeg har kørn med µTorrent i lang tid nu, men da jeg havde Azureus kunne jeg kun udnytte min forbindelse med 46-65% efter jeg skiftede kom jeg op på 100-105% og kunne downloade en DVD film på 3,5 time med en 4M/bit
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 20:00 Genie Timeline Af Malm i Andet software
I går 16:09 Plex virker ikke uden for netværk ??? Af Ronron i Mac
I går 16:03 exFat Af Bruce i Apps til iOS
I går 14:57 Ukendt enhed logget på mit netværk Af KristinaS i Wifi
28/1120:57 Bruger/Administrator Af ErikHg i Windows
White papers
Flere white papers »


Premium
Teaser billede
Et år efter hård kritik: En stribe myndigheder har fortsat store huller i deres kriseberedskaber
Læs mere »
Næsten alle de gode navne er taget, men domænehandleren Marcus har en opskrift, der kan hjælpe dig med at kapre drømmeadressen
EU åbner NIS2-sag mod Danmark efter store forsinkelser: Får to måneder
Gør som stort konsulenthus: Rekruttér selv og få bedre kvalitet … og spar en masse penge
Se alle »
Computerworld
Teaser billede
Omfattende netværksproblemer hos TDC: Nu er årsagen muligvis fundet
Læs mere »
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Test: Den snusfornuftige Volkswagen ID.3 blevet til lidt af el-bisse
Stortest: Med USB-C skulle alle kabler være lige - men det er de bare slet ikke
Se alle »
CIO
Teaser billede
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Læs mere »
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Leverandør til 50 danske kommuner ramt af ransomware: "Det er ikke sjovt," siger direktør Thomas à Porta
Microsoft et døgn efter nedbrud: Stadig problemer med Outlook
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Twoday er rykket til et af de dyreste postnumre i Danmark – og det kan betale sig, siger topchef Lars Berthelsen
Se alle »
White paper
Teaser billede
Managed Detection & Response: Forsvar din virksomhed mod cybertrusler døgnet rundt
Læs mere »
MDR: Transparent sikkerhed og overvågning i realtid
Governance, Risk & Compliance: Knyt stærke bånd mellem forretning og sikkerhed
Vær proaktiv og prioritér IT-sikkerheden – før det er for sent
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »