obey-robots.txt
data-full-width-responsive="true">
Advertentie
data-full-width-responsive="true">
Onderwerp bekijken
 Onderwerp afdrukken
Firewall Denial of Service Log
denozem
Sinds deze maand wordt ik dagelijks bericht met de volgende melding:

TCP- or UDP-based Port Scan DETECTED on Sun Nov 18 01:18:44 2012
targeting 84.107.xxx.xxx,33013, sent from 212.54.40.25,53


Ik heb in mijn Ubee modem ingesteld dat er een mail naar mij gestuurd moet worden wanneer er bij mij gescand wordt op poorten.

Kunnen jullie mij vertellen wat er gebeurd? Ik heb het IP getraceerd en kwam terecht bij een DNS van Ziggo.

Het is me opgevallen dat er niet alleen op mijn WAN IP wordt gescand maar ook op mijn LAN.

Groet Nozem.

PS. ter info een aantal extra meldingen:

TCP- or UDP-based Port Scan DETECTED on Sun Nov 18 01:18:44 2012
targeting 84.107.xxx.xxx,33013, sent from 212.54.40.25,53

IP packet w/MC or BC SRC addr DETECTED on Fri Nov 16 02:30:14 2012
targeting 192.168.178.14,49928, sent from 54.247.95.255,80

TCP- or UDP-based Port Scan DETECTED on Mon Nov 12 02:16:01 2012
targeting 84.107.xxx.xxx,24635, sent from 212.54.40.25,53

TCP- or UDP-based Port Scan DETECTED on Sun Nov 11 03:07:18 2012
targeting 84.107.xxx.xxx,61739, sent from 212.54.40.25,53
 
kobus1960
Heb je een site, IPcam of een NAS online in je netwerk?
 
denozem
Er staat teamviewer op maar daarbij heb ik het gebruik van poort 80 uitgeschakeld. Verder heb ik wel een systeem waarbij een IIS actief is maar deze is alleen per localhost bereikbaar.
 
kobus1960
Oke, met onderstaande site kun je je poorten checken.
Doe je met een pc in je lokale netwerk, zie je precies wat je open hebt.
Krijg je wel een rits meldingen van je modem!

https://www.grc.com/x/ne.dll?bh0bkyd2
 
Nicholas
Ik heb al eens eerder een topic gestart over dit onderwerp. Heb namelijk precies hetzelfde. Tot op heden geen idee waar het vandaan komt. Met de nieuwe update van de Ubee zijn er volgens mij wel minder meldingen overigens. Heb ook van alles geprobeerd en gechecked maar let er nu gewoon niet meer op.

http://ziggo.gebruikers.eu/forum/view...post_18744
Expert, Coach en Trainer in No-Nonsense gerelateerde alsmede Nonsense gerelateerde zaken waarbij expertise op het gebied van voorgenoemde (en niet genoemde) onderwerpen gewenst danwel noodzakelijk is. Hierbij aantekenend dat menig individu in het algemee
 
briolet
Als je goed kijkt is dit een melding van: sent from 212.54.40.25,53

Poort 53 is de poort die door dns servers gebruikt wordt. Ik heb ze ook dagelijks. Of eigenlijk zijn er wel 10 per dag, maar het Ubee zend ze niet voor elk incident als mail. En als je in het log kijkt dan overschrijft elke melding de vorige, zodat je alleen de laatste ziet. Alleen als er een nieuw type waarschuwing komt gebruikt de Ubee een nieuwe regel. Als je de messages naar een syslog laat schrijven wordt wel elk incident gemeld.

Ik zelf krijg messages van 3 verschillende adressen, te weten de twee DNS servers van Ziggo en een DNS server van openDNS.

In jouw geval is dat een van de ziggo dns servers. Geen idee waarom ze poorten scannen, maar misschien wil zo'n dns server gewoon weten of je bestaat. Ik nam aan dat het bij mij gebeurd omdat mijn IP dagelijks bij een DDNS server geregistreerd wordt.

Overigens zit er een bug in die mail optie van de firewall waardoor je "sent email adres" verloren gaat als je modem opnieuw opstart. En sinds kort merk ik dat ook mijn modem om de paar dagen herstart, waardoor de Ubee mailtjes zonder afzender verstuurd worden en mijn mail provider ze als spam kenmerkt.Sad En om elke paar dagen in mijn modem in te loggen om dit adres weer in te vullen is mij ook te veel werk als hij na een paar dagen weer herstart. Alle andere instellingen blijven gelukkig wel bewaard na zo'n restart.

Automatisch samengevoegd met vorige post op: november 19 2012 17:24:20:
Overigens heb ik die andere message ook. Die komt van amazonaws.com. Geen idee wat die doet. Via deze webpage kun je overigens leuke info over zulke onbekende ip adressen vinden.

Automatisch samengevoegd met vorige post op: november 19 2012 18:12:41:
En na lezen van de link van Nicholas, las ik dat hij een haf jaar geleden al schreef:

Quote

Heb net de firewall logs nog eens bekeken en wat opvalt is dat er geen registratie van een "port scan vanaf een name-server" is geweest van 23 maart tot 1 april.

In die periode waren er dus wel portscans, maar ze overschreven elkaar. Dat merk je als je regelmatig naar het log kijkt. Soms gaat het tellertje gewoon omhoog en komt er nieuwe info in de entry te staan. Kan zelfs een andere afzender IP zijn. Pas als er een ander type waarschuwing komt verspringt de regel en als er daarna weer een portscan komt begint de teller op een nieuwe regel met 1.

Automatisch samengevoegd met vorige post op: november 19 2012 22:12:49:
Begin ik toch nieuwsgierig te worden waarom die amazonaws de firewall triggered. Hier op de wikipedia vind je iets meer over deze Amazon dienst. Ik zag namelijk twee andere IP adressen in mijn firewall staan: 23.21.139.255:80 en 23.21.222.255:443, maar beide IP's behoren ook toe aan amazonaws. In de maanden septemer en oktober was de count steeds een drievoud. Maar sinds 6 oktober niet een meer. Dat ik ook de periode geweest dat ik met portfiltering een heleboel poort ranges in de Ubee dicht gegooid heb. (maar dat kan toeval zijn).
Gewijzigd door briolet op 19-11-2012 22:12
 
Nicholas
@Briolet: Mogelijk heb je iets van een cloud-achtige dienst op je computer gehad (zoals dropbox of iets anders.) die gebruik maakte van servers van Amazon. Ze bieden namelijk enorm veel diensten aan.
Expert, Coach en Trainer in No-Nonsense gerelateerde alsmede Nonsense gerelateerde zaken waarbij expertise op het gebied van voorgenoemde (en niet genoemde) onderwerpen gewenst danwel noodzakelijk is. Hierbij aantekenend dat menig individu in het algemee
 
briolet
Cloud bij een externe server probeer ik te vermijden. Data zijn daar niet veilig, vooral omdat zij vaak door wettelijke regels anderen inzage in de opgeslagen data kunnen geven. En dat soort staten kan niet goed omgaan met gevoelige data en lekt die data vaak weg aan derden. Denk maar aan alle correspondentie van Amerikaanse ambassades die vorig jaar plots op straat lag via de wikileaks.Wink

Ik heb tegenwoordig wel een cloud dienst, maar die staat op mijn eigen server thuis. (Synology nas)

Wel gebruik ik al 5 jaar een account bij "box.com". Dat is een filesharing site in de USA en heeft bij mijn weten geen relatie met Amazon. Misschien Photobucket?
In elk geval zijn het "vertrouwde' triggers in de firewall die niets met inbraakpogingen te maken hebben. Misschien een webbot die probeert websites te indexen, omdat het web poorten zijn waar hij nar kijkt? Het enige vreemde is dat er een intern IP adres in het log opduikt.

De enige inbraakpogingen bij mij zijn inlog pogingen op de nas met "administrator" als useraccount. Deze komen bijna altijd vanaf Chinese IP adressen. Maar met een goed wachtwoord komen ze er toch niet in en hoef ik me er niets van aan te trekken. Bovendien bestaat "Administrator" bij mij niet eens als user en het default "Admin" account is uitgezet bij mij. Maar ja, ze hopen gewoon dat ze eens een server tegenkomen met de default administrator nog steeds aktief, en het liefst nog met het originele wachtwoord. Blijkbaar komt dat toch nog voor. Blush
 
Spring naar forum:
Nieuw onderwerp Antwoorden
Gebruik BBcode of HTML om naar; 'Firewall Denial of Service Log', te verwijzen!
BBcode:
HTML:
Vergelijkbare onderwerpen
Onderwerp Forum         Laatste bericht
ZEER SLECHTE SERVICE Klacht over Ziggo : 9 01-08-2017
wifi slecht en vage service? Klacht over Ziggo : 6 17-06-2017
Ziggo verhoogt prijzen alweer ! Maar de service en het netwerk hier zijn matig Klacht over Ziggo : 3 23-05-2017
Slechte service ZIGGO Klacht over Ziggo : 7 04-05-2017
Service level zakt wel behoorlijk. Klacht over Ziggo : 7 26-09-2015