|
|
 | Spørgsmål til firewall log
Fra : Christian B. Andrese~ |
Dato : 20-10-05 08:24 |
|
Hej Ng.
Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
Jeg har så fået en mail, og jeg blev noget overrasket over så mange
angreb, et ca. hver 5 min.
Er det normalt for et relativt nyt ip nummer ?
Herunder er et uddrag af loggen, så kommer der nogle spørgsmål
bagefter:
log start
[2005-10-19 12:15:52] | From:[213.83.172.162] | Port:[445] | [Blocked]
[2005-10-19 12:19:24] | From:[82.58.173.17] | Port:[445] | [Blocked]
[2005-10-19 12:19:54] | From:[85.176.149.77] | Port:[5554] | [Blocked]
[2005-10-19 12:19:55] | From:[85.176.149.77] | Port:[1023] | [Blocked]
[2005-10-19 12:19:56] | From:[85.176.149.77] | Port:[445] | [Blocked]
[2005-10-19 12:19:57] | From:[85.176.149.77] | Port:[9898] | [Blocked]
[2005-10-19 12:20:22] | From:[83.73.221.198] | Port:[445] | [Blocked]
[2005-10-19 12:20:41] | From:[202.99.170.138] | Port:[1434] | [Blocked]
[2005-10-19 12:28:26] | From:[213.83.172.162] | Port:[445] | [Blocked]
[2005-10-19 12:33:04] | From:[213.77.215.169] | Port:[445] | [Blocked]
[2005-10-19 12:36:30] | From:[213.166.11.14] | ICMP | [Blocked]
[2005-10-19 12:36:42] | From:[213.66.173.47] | Port:[445] | [Blocked]
[2005-10-19 12:37:44] | From:[62.214.227.95] | Port:[445] | [Blocked]
log slut
Jeg kan godt se at de alle er blevet blokeret, men kan jeg ellers bruge
informationerne til noget ?
Jeg kan finde ud af lidt omkring ip numrene og portnumrene her:
http://www.dshield.org/ og http://isc.sans.org/
Kan man bruge den information til noget ?
mvh
Christian
| |
 Christian Iversen (20-10-2005)
| Kommentar
Fra : Christian Iversen |
Dato : 20-10-05 11:03 |
|
Christian B. Andresen wrote:
> Hej Ng.
>
> Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
> Jeg har så fået en mail, og jeg blev noget overrasket over så mange
> angreb, et ca. hver 5 min.
Hvordan konkluderer du at det er et "angreb"?
--
| Christian Iversen | Why do you wear your underwear on the |
| chrivers@iversen-net.dk | outside? |
| |
Christian B. Andrese~ (20-10-2005)
| Kommentar
Fra : Christian B. Andrese~ |
Dato : 20-10-05 11:14 |
|
Christian Iversen wrote:
> Christian B. Andresen wrote:
>
> > Hej Ng.
> >
> > Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
> > Jeg har så fået en mail, og jeg blev noget overrasket over så mange
> > angreb, et ca. hver 5 min.
>
> Hvordan konkluderer du at det er et "angreb"?
Det formoder jeg, da jeg kan se at mange af de porte bruges af beskidte
programmer.
Desuden, hvorfor skulle så mange ringe på hos mig uden grund ?
mvh
Christian
| |
Christian Iversen (20-10-2005)
| Kommentar
Fra : Christian Iversen |
Dato : 20-10-05 11:25 |
|
Christian B. Andresen wrote:
>
> Christian Iversen wrote:
>> Christian B. Andresen wrote:
>>
>> > Hej Ng.
>> >
>> > Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
>> > Jeg har så fået en mail, og jeg blev noget overrasket over så mange
>> > angreb, et ca. hver 5 min.
>>
>> Hvordan konkluderer du at det er et "angreb"?
>
> Det formoder jeg, da jeg kan se at mange af de porte bruges af beskidte
> programmer.
> Desuden, hvorfor skulle så mange ringe på hos mig uden grund ?
Men er det et angreb? Jeg ville ikke kalde (hvad der næsten helt sikkert er)
automatiserede scanninger for et angreb.
Dernæst, hvorfor er det et problem?
Det er ganske normalt, og harmløst. Jeg ville i stedet kigge på hvilken type
trafik din firewall lader gå igennem.
--
| Christian Iversen | Do you mind if I'm racist? Well, I'll go |
| chrivers@iversen-net.dk | outside then. Fucking blue people! |
| | Stealing our hamsters! |
| |
Kent Friis (20-10-2005)
| Kommentar
Fra : Kent Friis |
Dato : 20-10-05 16:10 |
|
Den 20 Oct 2005 03:14:20 -0700 skrev Christian B. Andresen:
>
> Christian Iversen wrote:
>> Christian B. Andresen wrote:
>>
>> > Hej Ng.
>> >
>> > Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
>> > Jeg har så fået en mail, og jeg blev noget overrasket over så mange
>> > angreb, et ca. hver 5 min.
>>
>> Hvordan konkluderer du at det er et "angreb"?
>
> Det formoder jeg, da jeg kan se at mange af de porte bruges af beskidte
> programmer.
445 og 1023 er Windows. Er det et beskidt program?
> Desuden, hvorfor skulle så mange ringe på hos mig uden grund ?
Forkert nummer, Windows støj, trafik til den tidligere bruger på det
ip-nummer,...
Der er mange muligheder.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Kim Ludvigsen (20-10-2005)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 20-10-05 12:14 |
|
Den 20-10-05 09.24 skrev Christian B. Andresen følgende:
> Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
> Jeg kan godt se at de alle er blevet blokeret, men kan jeg ellers bruge
> informationerne til noget ?
Intet. Slå loggen fra. Læs evt. gruppens OSS:
http://sikkerhed-faq.dk/hjemme_net#fwbesked
--
Mvh. Kim Ludvigsen
Økonom Steffen Møller giver et bud på, hvordan internettet vil påvirke
forbrugernes valgmuligheder.
http://kimludvigsen.dk
| |
Christian B. Andrese~ (20-10-2005)
| Kommentar
Fra : Christian B. Andrese~ |
Dato : 20-10-05 12:57 |
|
Christian Iversen wrote:
> Christian B. Andresen wrote:
>
> >
> > Christian Iversen wrote:
> >> Christian B. Andresen wrote:
> >>
> >> > Hej Ng.
> >> >
> >> > Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
> >> > Jeg har så fået en mail, og jeg blev noget overrasket over så mange
> >> > angreb, et ca. hver 5 min.
> >>
> >> Hvordan konkluderer du at det er et "angreb"?
> >
> > Det formoder jeg, da jeg kan se at mange af de porte bruges af beskidte
> > programmer.
> > Desuden, hvorfor skulle så mange ringe på hos mig uden grund ?
>
> Men er det et angreb? Jeg ville ikke kalde (hvad der næsten helt sikkert er)
> automatiserede scanninger for et angreb.
>
> Dernæst, hvorfor er det et problem?
Det er vel så heller ikke et problem.
> Det er ganske normalt, og harmløst. Jeg ville i stedet kigge på hvilken type
> trafik din firewall lader gå igennem.
Hvordan finder jeg ud af det ?
mvh
Christian
| |
Christian Iversen (20-10-2005)
| Kommentar
Fra : Christian Iversen |
Dato : 20-10-05 13:02 |
|
Christian B. Andresen wrote:
>
> Christian Iversen wrote:
>> Christian B. Andresen wrote:
>>
>> >
>> > Christian Iversen wrote:
>> >> Christian B. Andresen wrote:
>> >>
>> >> > Hej Ng.
>> >> >
>> >> > Jeg har sat min firewall op til at sende mig en log en gang i
>> >> > døgnet. Jeg har så fået en mail, og jeg blev noget overrasket over
>> >> > så mange angreb, et ca. hver 5 min.
>> >>
>> >> Hvordan konkluderer du at det er et "angreb"?
>> >
>> > Det formoder jeg, da jeg kan se at mange af de porte bruges af beskidte
>> > programmer.
>> > Desuden, hvorfor skulle så mange ringe på hos mig uden grund ?
>>
>> Men er det et angreb? Jeg ville ikke kalde (hvad der næsten helt sikkert
>> er) automatiserede scanninger for et angreb.
>>
>> Dernæst, hvorfor er det et problem?
>
> Det er vel så heller ikke et problem.
Godt :)
>> Det er ganske normalt, og harmløst. Jeg ville i stedet kigge på hvilken
>> type trafik din firewall lader gå igennem.
>
> Hvordan finder jeg ud af det ?
Hvilken firewall har du installeret?
--
| Christian Iversen | Spiderman, superman, batman, dogman, |
| chrivers@iversen-net.dk | frogman... eh, elephant man? |
| |
Povl H. Pedersen (20-10-2005)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 20-10-05 16:01 |
|
In article <1129793055.208235.20500@g44g2000cwa.googlegroups.com>, Christian B. Andresen wrote:
> Hej Ng.
>
> Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
> Jeg har så fået en mail, og jeg blev noget overrasket over så mange
> angreb, et ca. hver 5 min.
> Er det normalt for et relativt nyt ip nummer ?
Nej, jeg vil sige det er i underkanten. Du må sidde på en dårlig
linie, eller IP adresser der først for nyligt er taget i brug.
....
> Jeg kan godt se at de alle er blevet blokeret, men kan jeg ellers bruge
> informationerne til noget ?
Ja, du kan bruge det til at vurdere virus / orme aktiviteten på Internet.
Det farlige er det der ikke logges, altså det der lukkes igennem.
Loggen har en privatperson intet at bruge til.
> Jeg kan finde ud af lidt omkring ip numrene og portnumrene her:
> http://www.dshield.org/ og http://isc.sans.org/
> Kan man bruge den information til noget ?
Kun hvios du logger hvad der går igennem din firewall, og sammenholder
med hvad der forventes at gå gennem den.
| |
Kent Friis (20-10-2005)
| Kommentar
Fra : Kent Friis |
Dato : 20-10-05 16:09 |
|
Den 20 Oct 2005 00:24:15 -0700 skrev Christian B. Andresen:
> Hej Ng.
>
> Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
> Jeg har så fået en mail, og jeg blev noget overrasket over så mange
> angreb, et ca. hver 5 min.
> Er det normalt for et relativt nyt ip nummer ?
Nyt ip-nummer? Er det et af dem der starter med 256? (De gamle
gik kun op til 255[1]), eller snakker du om IPv6?
Mvh
Kent
[1] 224-255 er dog reserveret til multicast, og som sådan ikke brugbare
som normale ip-numre.
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Christian B. Andrese~ (24-10-2005)
| Kommentar
Fra : Christian B. Andrese~ |
Dato : 24-10-05 08:15 |
|
Christian Iversen wrote:
> >> Det er ganske normalt, og harmløst. Jeg ville i stedet kigge på hvilken
> >> type trafik din firewall lader gå igennem.
> >
> > Hvordan finder jeg ud af det ?
>
> Hvilken firewall har du installeret?
Det er en som er indbygget i min trådløse router, det er en Zitech:
http://www.zitech.dk/product/details.aspx?sku=280486&cid=demoshop
mvh
Christian
| |
Christian B. Andrese~ (24-10-2005)
| Kommentar
Fra : Christian B. Andrese~ |
Dato : 24-10-05 08:19 |
|
Povl H. Pedersen wrote:
> In article <1129793055.208235.20500@g44g2000cwa.googlegroups.com>, Christian B. Andresen wrote:
> > Hej Ng.
> >
> > Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
> > Jeg har så fået en mail, og jeg blev noget overrasket over så mange
> > angreb, et ca. hver 5 min.
> > Er det normalt for et relativt nyt ip nummer ?
>
> Nej, jeg vil sige det er i underkanten. Du må sidde på en dårlig
> linie, eller IP adresser der først for nyligt er taget i brug.
I underkanten ?
> > Jeg kan godt se at de alle er blevet blokeret, men kan jeg ellers bruge
> > informationerne til noget ?
>
> Ja, du kan bruge det til at vurdere virus / orme aktiviteten på Internet.
>
> Det farlige er det der ikke logges, altså det der lukkes igennem.
> Loggen har en privatperson intet at bruge til.
>
> > Jeg kan finde ud af lidt omkring ip numrene og portnumrene her:
> > http://www.dshield.org/ og http://isc.sans.org/
> > Kan man bruge den information til noget ?
>
> Kun hvios du logger hvad der går igennem din firewall, og sammenholder
> med hvad der forventes at gå gennem den.
OK, mange tak.
mvh
Christian
| |
Christian B. Andrese~ (24-10-2005)
| Kommentar
Fra : Christian B. Andrese~ |
Dato : 24-10-05 08:25 |
|
Kent Friis wrote:
> Den 20 Oct 2005 00:24:15 -0700 skrev Christian B. Andresen:
> > Hej Ng.
> >
> > Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
> > Jeg har så fået en mail, og jeg blev noget overrasket over så mange
> > angreb, et ca. hver 5 min.
> > Er det normalt for et relativt nyt ip nummer ?
>
> Nyt ip-nummer? Er det et af dem der starter med 256? (De gamle
> gik kun op til 255[1]), eller snakker du om IPv6?
Med nyt, mener jeg at vi har haft ip nummeret i 1 måned. Men det kan
selvfølgelig have været andres inden.
mvh
Christian
| |
Kent Friis (24-10-2005)
| Kommentar
Fra : Kent Friis |
Dato : 24-10-05 17:37 |
|
Den 24 Oct 2005 00:25:27 -0700 skrev Christian B. Andresen:
>
> Kent Friis wrote:
>> Den 20 Oct 2005 00:24:15 -0700 skrev Christian B. Andresen:
>> > Hej Ng.
>> >
>> > Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
>> > Jeg har så fået en mail, og jeg blev noget overrasket over så mange
>> > angreb, et ca. hver 5 min.
>> > Er det normalt for et relativt nyt ip nummer ?
>>
>> Nyt ip-nummer? Er det et af dem der starter med 256? (De gamle
>> gik kun op til 255[1]), eller snakker du om IPv6?
>
> Med nyt, mener jeg at vi har haft ip nummeret i 1 måned. Men det kan
> selvfølgelig have været andres inden.
Det kan det sagtens. Eller det kan have været frit, men det har under
alle omstændigheder været kendt lige siden IPv4 blev indført engang
i sidste århundrede. Og den eneste måde at finde ud af om der er nogen
på IP-nummeret er at sende trafik til det, og se hvad svar man får
tilbage (Network unreachable, Host unreachable, Connection Refused)
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Christian B. Andrese~ (25-10-2005)
| Kommentar
Fra : Christian B. Andrese~ |
Dato : 25-10-05 08:30 |
|
Kent Friis wrote:
> Den 24 Oct 2005 00:25:27 -0700 skrev Christian B. Andresen:
> >
> > Kent Friis wrote:
> >> Den 20 Oct 2005 00:24:15 -0700 skrev Christian B. Andresen:
> >> > Hej Ng.
> >> >
> >> > Jeg har sat min firewall op til at sende mig en log en gang i døgnet.
> >> > Jeg har så fået en mail, og jeg blev noget overrasket over så mange
> >> > angreb, et ca. hver 5 min.
> >> > Er det normalt for et relativt nyt ip nummer ?
> >>
> >> Nyt ip-nummer? Er det et af dem der starter med 256? (De gamle
> >> gik kun op til 255[1]), eller snakker du om IPv6?
> >
> > Med nyt, mener jeg at vi har haft ip nummeret i 1 måned. Men det kan
> > selvfølgelig have været andres inden.
>
> Det kan det sagtens. Eller det kan have været frit, men det har under
> alle omstændigheder været kendt lige siden IPv4 blev indført engang
> i sidste århundrede. Og den eneste måde at finde ud af om der er nogen
> på IP-nummeret er at sende trafik til det, og se hvad svar man får
> tilbage (Network unreachable, Host unreachable, Connection Refused)
Ping etc. ?
mvh
Christian
| |
|
|