ComputerBase Menü
Aktuelles

Detect UDP port scan attack - Was bedeutet das?

D

domitec

Ensign
Registriert
März 2017
Beiträge
154
Hallo Zusammen

Ich gehe momentan Zuhause per LTE+ ins Internet.

Dafür verwende ich eine Simkarte mit einem unbegrenzten Datenabo, als Gerät ein stationärer Router von Huawei, den B618s.

Das Ganze läuft soweit ziemlich gut.

Angeschlossen ist ein PC über LAN, 2 Tablets über WLAN sowie Geschäfts und Privatsmartphone.

Nun bin ich vor kurzem einmal als Admin in das Konfigurationsmenü vom Router gegangen, schaute mir nebenbei die Systemprotokolle an.

Und dort standen dann folgende Warnungen:

Scan Attack.PNG



Ich bin ein wenig beunruhigt, versucht mich da jemand anzugreifen, und wenn ja, durch welchen Weg?

Dem Provider habe ich die Meldungen schon mitgeteilt und der SIM wurde dann eine neue dynamische IP vergeben.

Leider kein Erfolg.

Dass sich jemand in der Mobilfunkzelle befinden würde, der irgendwelche Angriffe ausübt, habe ich mir auch überlegt.

Denke aber eher, dass dies durch Firewall vom Provider eher nicht möglich ist. Wie seht Ihr das?

Ich danke für eure Hilfe!
 
Zuletzt bearbeitet:
Das Internet besteht zu 80% aus Streams, bunt gemischt aus Netflix, Pron und sonstigen Streams. weitere 15% sind sonstiger Surf-Traffic und die verblieben 5% sind irgendwelche Bots und Automatismen die irgendwelche Webseiten abgrasen, jede nur erdenkliche IP kontaktieren um zu prüfen ob und ggf. welcher Dienst da lauscht und probieren dann Standard-Kennwörter aus. (Ja, die Zahlen sind völlig willkürlich aus der Luft gegriffen.)

Kurz gesagt: Ignorieren.
Die Meldung ist den Stromverbrauch nicht wert, den der Router verbraucht um die Meldung ins Log zu schreiben.
Warum du die letzten zwei Oktete mancher IPs aus privaten Netzen maskierst, alle anderen IPs, die genau so aus privaten Adressbereichen stammen aber nicht wird wohl ein Rätsel bleiben (ja, auch das gesamte 10.0.0.0/8 ist reserviert für private, nicht öffentlich geroutete Nutzung).

Wenn da jetzt hunderte Meldungen pro Stunde oder Minute wären: Ja okay aber alle paar Stunden oder Tage mal ein kleiner UDP-Flood? Solange der Router nicht mitteilt was er unter einem "UDP port scan attack" versteht kann man es sowieso nicht vernünftig einordnen. Gilt schon ein unerwünschtes Paket als Angriff oder erst 1000? Vielleicht aber auch nur 17? Von daher wie gesagt ignorieren und nie auf die Idee kommen einen eigenen öffentlich erreichbaren Server/Dienst zu betreiben und dann da mal in die Logs zu schauen, da ist dann idR etwas mehr los.
 
Das Internet ist voll von Bots die nach offenen Ports bzw. nach (angreifbaren) Diensten dahinter suchen. Das ist ganz normal und erstmal nicht weiter tragisch.
 
Absolut egal in welchem Netz du bist. Ob Mobilfunk oder Kabel etc.
Das einzige was sich unterscheidet ist dass du hinter einem Router etwas sicherer bist als direkt am Handy oder MobileSticks die einfach ein Modem spielen.
Denn dann steht deine LAN IP nicht mehr in einem privaten Netz so wie es eben hinter Routern der Fall ist.

Zum Scan selbst kann ich nur vermuten. Irgendwer hat von aussen wahrscheinlich deine Ports abgeklopft.
Bots wurden schon genannt. Kann aber auch etwas anderes sein.
Ob dein Provider da noch Gegenmaßnahmen zwischenschaltet weiß nur dieser.

Eventuell funkt auch irgend eine Software von deinem PC raus und dann kommt vielleicht ein Portscan.
Gibts alles. zB. machen das manche IRC-Server gerne.

Grundsätzlich solltest du alle Optionen die RemoteAdministration am Router betrifft deaktivieren.
Soll heissen: Konfigurieren über die Weboberfläche nur über dein LAN erlauben.

Dann noch Passwörter am Router ändern. Meist sind es 2. Einer Admin einer User.
Und immer aktuellste Firmware installieren falls das nicht automaisch läuft bei deinem Provider.

Und zu guter letzt könnte man noch UPnP oder sonstigen Schnickschnack am Router deaktivieren.
Also auch alle unnötigen Dienste/Protokolle dort deaktivieren.
Und wenn möglich keine Ports forwarden. Aber das braucht man eher bei Spielen oder sonstigem.
Je weniger dort läuft umso kleiner die Chancen dass was reinkommt was nicht rein soll.
 
Zuletzt bearbeitet:
@snaxilian > Danke für den Hinweis der nicht markierten Okete!

Welche Methoden, um für einen Portscan an eine IP/Router zu gelangen gibt es sonst noch neben den Bots und Automatismen, die irgendwelche denkbare IP's abgrasen?

Ich stelle mir da folgende Szenarien/Methoden vor.

Jede aufgerufene Website speichert die IP sofort.
Das ist klar!
Natürlich nicht nur Websiten, sondern auch jegliche Apps, Streamingdienste, Provider, Betriebssysteme, Clouds, Messengers und noch vieles mehr.

Als Beispiel gelangt man jetzt beim Surfen auf eine unseriöse Website, wo Angreifer mit Ziel eines Portscans/Angriffs dahinterstecken. Diese nutzen dann dafür meine öffentliche, für Jedermann ersichtliche IP, bis die IP nach paar Stunden wieder erneuert wird.

Besucht man jetzt als Beispiel nach IP Wechsel die unseriöse Website erneut, nutzt der Angreifer dann wieder die neue IP. Besucht man die Website nun nicht mehr, bleibt man von diesem einmal verschont.

Eine weitere Möglichkeit:

Stellen wir uns jetzt vor, in einem Heimnetzwerk befindet sich ein Gerät, dass über längere Zeit warum auch immer nicht mehr mit aktuellen Sicherheitspatches versorgt worden wäre, (Windows, Android etc.), und dummerweise durch ungeschlossene Sicherheitslücken, jeglicher Art von Schadsoftware befallen wäre, könnte diese Schadsoftware auf dem betroffenen Gerät dann als Beispiel jederzeit die öffentliche IP vom Router, Geräteinfos usw. an den Hacker mitteilen, auch nach IP Wechsel, und dieser weiss dann immer wieder neu, unter welcher IP man sich aufhält, und dass das Identifizierte Gerät bereit ist.


Sind das denkbare Szenarien oder liege ich da falsch? :)
 
„ein weiteres Szenario“ ist wahrscheinlicher als das „ich stelle mir da... „
 
Stimme @chrigu zu. Es ist um ein vielfaches simpler einfach periodisch alle Adressen durch zu gehen als solche was-wäre-wenn Setups.
Als potentieller Angreifer teste ich automatisch blind einfach alle und lasse mir erfolgreiche Treffer melden. Da geht dann das nächste Skript ran und versucht wiederum alle üblichen und bekannten Exploits.
Manuell geschieht da nur noch sehr wenig in dem Umfeld, da einfach manuell = nicht "wirtschaftlich".
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Aratosh
Möglichkeit TCP/UDP port scan bzw ICMP Reply aufzudecken ?
Antworten
8
Aufrufe
3.927
Ranayna
Ranayna
G
GigaCube - Router Port Scan Attack / Internetaussetzer
2
Antworten
22
Aufrufe
5.938
Sebbi
S
S
Xmas port scan attack from WAN
Antworten
3
Aufrufe
3.704
Kommandofrosch
Kommandofrosch
messias
kaspersky meldet udp port scan angriff!
Antworten
6
Aufrufe
3.184
Dr. Dill
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz