Author Topic: wie kann ich vorgehen wenn mich jemand aus dem WAN scannt ?  (Read 8103 times)

Offline ipslave

  • Newbie
  • *
  • Posts: 3
  • Karma: 0
Hallo

habe da ein prob. mit einer ip die mich immer scannt wenn meine rechner starten.

5.165.60.113  auf den ports 139, 445, auf meinem rechner eingehend
und von den ports kommend 4372, 4369, 3633, 2931, 2924 usw...

was oder wie soll ich mich verhalten ?

würde gerne wissen ob es schon der neue " bundestrojaner" ist ?
oder nur ein paar verrückte ...

danke für jede hilfe
:)

Offline tankwart

  • Sr. Member
  • ****
  • Posts: 165
  • Karma: 0
Re: wie kann ich vorgehen wenn mich jemand aus dem WAN scannt ?
« Reply #1 on: Tuesday, 25.09.2007 23:23 »
Um gleich mal ein beliebtes Vorurteil von Personal-Firewall-Fetischisten auszuräumen: Das Scannen von IP-Ports aus dem WAN ist ein so normaler Vorgang, dass es nicht lohnt, sich darüber Gedanken zu machen. Das Internet ist genau so öffentlich, wie ein Marktplatz voller Touristen. Nur ein Neurotiker würde auf den Gedanken kommen, zu fragen, "wie kann ich vorgehen wenn mich jemand anschaut?"

Ein vernünftiger Internetzugang funktioniert über einen Hardware-Router mit NAT-Firewall, die blockt automatisch jeden incoming Traffic und jeden Port-Scan ab, ohne davon großes Aufhebens zu machen. Ein normaler Port-Scan beeinträchtigt weder Deine Internet-Bandbreite, noch ist er ein Sicherheitsrisiko.

Wenn Du mit einem Windows-PC ohne Router im Internet bist, sieht die Sache etwas anders aus, dann musst Du Dich auf die Windows-Firewall verlassen, die üblicherweise aber auch alle eingehenden Verbindungen blockiert, allerdings lange nicht so zuverlässig, wie selbst der billigste Hardware-Router. Auch die Windows-Firewall ignoriert diese Scans einfach.

Erst wenn Du eine Software-Firewall installierst, bekommst Du in der Regel Warnhinweise über solche "Angriffe", aber das ist ein reiner Marketing-Gag, um dem Käufer vorzugaukeln, wie wichtig es war, diese Software-Firewall zu installieren. Dass eine zweite Software-Firewall neben der Windows-Firewall das System auch unstabiler machen kann, erzählen die Hersteller natürlich nicht.

Das Interessante an Deiner Frage ist aber die IP-Adresse selbst, denn der IP-Adressbereich 5.0.0.0/8 ist von der IANA überhaupt noch nicht vergeben, sondern vorgesehen für zukünftige Zwecke, was auch immer das sein mag. Momentan wird dieser Adressbereich von einer VPN-Software namens LogMeIn Hamachi verwendet. Wenn man den Hamachi-Client installiert, bekommt man von einem sog. Mediation Server eine zusätzliche IP-Adresse aus dem Bereich 5.0.0.0/8 zugewiesen, und innerhab dieses Netzes kann man sich dann über ein proprietäres Protokoll mit anderen Rechnern verbinden. Wie das genau passiert, wird vom Hersteller geheim gehalten.

Diese Mediation-Server versuchen möglicherweise Deine IP-Adresse auf Connectivity zu scannen, vielleicht weil Deine dynamische IP-Adresse mal von jemandem mit einem Hamachi-Client verwendet wurde und der Server versucht, die Verbindung wiederherzustellen. Falls Du mit anderen Benutzern gemeinsam hinter einer Hardware-Firewall bist, kann es aber auch sein, dass ein ander LAN-Benutzer diese Software verwendet, und Du diese Scans dann im Router-Log siehst.

Weil dieser Adressbereich nicht offiziell vergeben ist, macht es eigentlich keinen Sinn, dass irgend ein Witzbold mit diese Absender-Adresse auf Deinen PC zugreift, weil die Antwort-Pakete niemals ihren Weg über das Internet zurück finden würden. Anders sähe es möglicherweise aus, wenn auf Deinem PC selbst dieser Client installiert wäre, oder falls über Deinen Provider durch eine Fehlkonfiguration eine Verbindung mit benachbarten Hamachi-PCs zustande kommen würde, oder jemand über Dein WLAN mitsurft, aber das ist reine Spekulation.

Den Bundestrojaner kannst Du getrost vergessen, eine ebenso offensichtlichen wie aussichtlosen Angriff traue ich selbst Schäubles Paranoikern nicht zu.




« Last Edit: Tuesday, 25.09.2007 23:38 by tankwart »

Offline admin

  • Administrator
  • Hero Member
  • *****
  • Posts: 250
  • Karma: 0
    • http://meineipadresse.de/
Re: wie kann ich vorgehen wenn mich jemand aus dem WAN scannt ?
« Reply #2 on: Tuesday, 25.09.2007 23:44 »
@ipslave,

mach doch mal einen IP-Trace zu 5.165.60.113, um zu sehen, wohin die Pakete geroutet werden, dann siehst Du, wo der Urheber sitzt!

(Unter Windows: Start / Ausführen / cmd.  Dann in der DOS-Box eingeben: tracert 5.165.60.113)

Offline ipslave

  • Newbie
  • *
  • Posts: 3
  • Karma: 0
Re: wie kann ich vorgehen wenn mich jemand aus dem WAN scannt ?
« Reply #3 on: Friday, 28.09.2007 18:52 »
ok danke für eure hilfe :)
ich werd mal die firewall so einstellen das die geblockte ip nicht mehr angezeigt wird ... p.s. seid 3 tagen lässt mich die ip in ruhe... :)

Offline hector

  • Newbie
  • *
  • Posts: 2
  • Karma: 0
Re: wie kann ich vorgehen wenn mich jemand aus dem WAN scannt ?
« Reply #4 on: Saturday, 29.09.2007 22:33 »
Und du bist dir sicher, dass du nicht Hamachi installiert hast? Denn wie tankwart schon erwähnte, wird es sich aller Wahrscheinlichkeit nach um Hamachi handeln, was dort versucht Kontakt mit deinem PC aufzubauen.

Offline ipslave

  • Newbie
  • *
  • Posts: 3
  • Karma: 0
Re: wie kann ich vorgehen wenn mich jemand aus dem WAN scannt ?
« Reply #5 on: Sunday, 30.09.2007 20:03 »
die ip kam schon wieder... 5.165.60.113:1618 und 5.165.60.113:1822  auf meinem rechner port 139
egal ..ist bestimmt nicht so schlimm...
p.s. ich benutze Hamachi-Client noch  nicht...aber wollte es mal installieren
egal :)