[Seadiver]

Hallo miteinander,

Vorne weg möchte ich sagen dass ich eigentlich "PC Wissen" reichlich habe...
Aber wenn es um Router, Netzwerk ect. pp geht bin ich eher ein noob...

Nun zu meinem Anliegen:

Vor einer Weile habe ich mal bei unserer Arcor EasyBox 803A bei der Firewall meine E-Mail eingetragen, damit ich bei "Einbruchsversuchen" benachrichtigt werde.
Danach kamen solche "Alert Messages" erstaunlich häufig, alle mit dem Inhalt:

Code:

Time: [Zeit und Datum]
Message: UDP Loop
Source: 109.200.206.189 (variiert), 58473(variiert)
Destination: meine WAN-IP, 19 (from PPPoE1 Inbound)

Als Source kamen auch IPs wie 89.248.166.21 und 94.23.232.157.
Das ganze lässt sich auch genauso im Router-Log nachvollziehen:

Code:

08/24/2012  21:32:31 **UDP Loop** 89.248.166.21, 1234->> 84.63.100.149, 19 (from PPPoE1 Inbound)
08/24/2012  21:32:32 SMTP> Succeed in sending alert mail.

Nachdem ich gestern vom Router ca. 5 Meldungen bezüglich der 109.200.206.189 bekommen habe, hab ich den Router sich mal neu mit dem Provider (Vodafone) verbinden lassen, damit ich eine andere IP hab, trotzdem hab ich heute wieder eine Meldung bekommen.

Einige IPs scheinen aus den Niederlanden zu kommen..


Manchmal habe ich auch solche RIP Packet meldungen.. sind aber eher seltener als die UDP Loops:

Code:

Time: [Zeit und Datum]
Message: RIP Packet
Source: 94.23.232.157, 520
Destination: meine WAN-IP, 520 (from PPPoE1 Inbound)

Jetzt meine Frage: handelt es sich hierbei nur um irgendwelche S*****kiddies, die sich irgendein super tolles Tool gedownloaded haben und nach dem Zufallsprinzip irgendwelche IPs angreifen, oder steckt da mehr dahinter?


Und vor allem möchte ich wissen was das zu bedeuten hat...


Ich bitte darum dass mir jemand ausführlich erklären kann was das alles zu bedeuten hat..
Wie schon bereits erwähnt, bin ich nicht Firm drin


Danke im Voraus
LG

[spartan-b292]

UDP Port 19:

Das ist prinzipiell ein "Character Generator" ([ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]) und wird zur Fehlerbehebung in TCP/IP Stacks verwendet. Prinzipiell generiert man damit mit einer hohen Rate zufällige Zeichen.
Bei einem Angriff versuchen Angreifer den Port auf den echo port ([ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]) durchzuschleifen um damit einen DOS zu bewirken.

Prinzipiell sollte das die in deinem Router integrierte Firewall aber einfach verwerfen und du musst dir darüber keine Sorgen machen. Ich denke dabei handelt es sich einfach um einen "wild gewordenen Server" der jetzt munter versucht Angriffe durchzuführen.

Die IP in deinem Log gehört laut Whois.net dieser Person:

[Redirected to whois.ripe.net:43]
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '109.200.206.0 - 109.200.206.255'

inetnum: 109.200.206.0 - 109.200.206.255
netname: HostHatch-Inc-NL
remarks: Please contact [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] for any issues
descr: HostHatch Inc
country: NL
admin-c: KC1600-RIPE
tech-c: KC1600-RIPE
status: ASSIGNED PA
mnt-by: AS49544-MNT
source: RIPE # Filtered

person: Kelvin Choy
address: HostHatch Inc
address: 1609 N. Tampa St. Tampa, Florida 33602
address: United States
phone: +18133733050
nic-hdl: KC1600-RIPE
mnt-by: AS49544-MNT
source: RIPE # Filtered
abuse-mailbox: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

% Information related to '109.200.192.0/20AS49544'

route: 109.200.192.0/20
descr: Interactive 3D
origin: AS49544
mnt-by: MNT-I3D
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.19.9 (WHOIS4)

Eventuell könntest du eine Abuse mail mit den Logs senden damit die Person bzw der Hoster sich darum kümmern kann.


RIP:

Die zweite Meldung ist über ein Packet des Routing Information Protocols RIP ([ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]). RIP wird dazu verwendet um Routingtabellen von Routern automatisch zu erstellen.
RIP kann "gespoofed" werden in dem gefälsche RIP packete erstellt und an die gateaways gesendet werden um ihre Routen zu verändern und damit das routing im Netzwerk zu verändern.

Auch das sollte deine Firewall prinzipiell einfach wegfiltern können. Auch hier geht der Angriff denke ich mal wieder von einem wildgewordenen Server aus und du könntest eine Abusemail verfassen.

[spartan-b292]

Den "Angriff" an sich kannst du nicht stoppen entweder filtert deine Router die Pakete weg..oder du brauchst einen besseren Router .

Aber prinzipiell glaube ich eher, dass es sich um einen "gehackten" server handelt auf dem jetzt jemand die (komplette) Vodafone IP-Range abgrast, als um einen direkt auf dich "gerichteten" Angriff.

Du könntest auch mal Rücksprache mit deinem Provider halten.

[Seadiver]

Danke für die Rasche Antwort!

Aber ich habe immer noch bedenken..
Kann ich wirklich diese Nachrichten mehr oder weniger Ignorieren, oder sollte ich sie doch eher ernst nehmen?


Denn diese Mails habe ich nie so oft gehabt...

Jetzt kommen Sie momentan eigentlich Täglich...

Ich habe mich jetzt mit Vodafone in Verbindung gesetzt.
Ich hoffe dieses Problem ist bald von der Welt geschafft.


Danke dir spartan-b292!
Dank dir bin ich jetzt ein wenig beruhigter!