Komischer Eintrag im Router log der Easybox 803A

[XeonB]

Hi,

ich habe heute folgenden EIntrag im Log gefunden, der So noch nie da war
**Smurf** 0.0.0.0, 38372->> 192.XXXXX (meine Router Adresse), 53 (from WLAN Inbound)

Bisher waren da nur machnmal ne Smurf mit der WANIP - was ist da passiert???
Sollte ich was tun??

Zu dem Zeitpunkt war wenn überhaupt nur ein Handy online per WLAN kein REchner oder ähnliches war an.

Danke

 

[error]

Ich glaube Wikipedia erklärt das ganz gut https://de.wikipedia.org/wiki/Smurf-Angriff

 

[XeonB]

Das mein Router da eine smurf geblockt hat ist mir klar. Allerdings bisher immer eine ip adresse 183.6.... (Beispiel ) zu meiner wanip und dann in Klammern (from pp.. inbound) Und eben nicht 0.0.0.0 ... zu der ip des Routers und vom wlan aus - was bedeutet das? Hat das Gerät, das gerade im wlan war einen Virus (ein Android Handy)?
DANKE für die Erklärung und tipps - wenn es welche gibt.

 

[error]

Moin,

okay, ich dachte zuerst es geht nur um die Erklärung, was ein Smurf-Angriff ist.

Zuallererst kann eine IP-Adresse beliebig gefälscht werden. Das ist an sich nicht schwer. Die IP 0.0.0.0 existiert nicht. Also wäre ein Sinn hinter diesem "Angriff" nicht zu erkennen. Denn außer etwas Netzwerkverkehr würde bei dieser "Attacke" nichts passieren. Und bis dein Netzwerk zuhause mit Pings in die Knie geht, das dauert.

Die nächste Information ist der Port 53 auf dem Router. Auf Port 53 läuft der DNS-Dienst.
Und vom Client kommt die Anfrage von einem Port größer 20000. Dies deutet auf eine App/ das System auf dem Handy hin, die eine Anfrage an den Router gestellt hat.

Der nächste Punkt ist, dass ICMP (= Ping) keine Ports kennt.

Nun gibt es folgende Möglichkeiten:
1) Eine DNS-Anfrage wurde als "Smurf-Angriff" erkannt und hat diesen Eintrag erzeugt.
2) Der Router hat ein defektes Paket erhalten und es als Smurf eingestuft.

Sofern die Einträge nicht laufend/ mehrmals auftauchen sehe ich es als Fehlalarm an.

Gruß

 

[XeonB]

Super Danke für das!!!!

Schließe noch eine Frage an:
Habe jetzt meine Easybox mal vom Strom genommen und damit ja eine neue WANIP bekommen. Allerdings hat sich dabei auch die Primäre DNS in den letzten 3 Ziffern geändert (Weiterhin ein Arcor server) der sekundäre DNS blieb gleich. Das hat sich heute zum erstenmal geändert - ich gehe davon aus, dass das auch normal ist, zumal es weiterhin ein Arcor server ist (überprüft mit utrace), oder?? - Ein Nichtwissender dankt!!!

 

[error]

Schließe noch eine Frage an:
Habe jetzt meine Easybox mal vom Strom genommen und damit ja eine neue WANIP bekommen. Allerdings hat sich dabei auch die Primäre DNS in den letzten 3 Ziffern geändert (Weiterhin ein Arcor server) der sekundäre DNS blieb gleich. Das hat sich heute zum erstenmal geändert - ich gehe davon aus, dass das auch normal ist, zumal es weiterhin ein Arcor server ist (überprüft mit utrace), oder??

Moin,
ja, das ist normal

Ein Internetprovider hat mehrere DNS-Server. Wie viele genau, das hängt von der Größe seines Netzwerks/ der Netzwerksegmente und deren Teilnehmern ab. Daher kann es vorkommen, dass sich die DNS-Server ab und zu ändern.
Du kannst entweder über google a la "DNS Server arcor" oder ähnliche Eingaben die öffentlichen DNS-Server der Provider herausfinden.
Beispielsweise hier: http://www.stanar.de/ (Erster Treffer Google)

gruß

 

[XeonB]

Vielen Dank
Jetzt kann ich beruhigt schlafen
Gruß