FB7170 erzeugt Dauertraffic

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
8,014
Punkte für Reaktionen
28
Punkte
48
Hallo,

habe eine FB7170 als Router hinter einem Kabelmodem.
Mit tcpdump -nevv -i wan icmp stelle ich Anfragen von meiner Box, auf IP-Adressen aus dem Bereich der IP-Adresse (78.42.xxx.xxx) der Box, fest (ca. 3 bis 4 mal in der Minute). Von der fremden IP-Adresse wird dann versucht, auf Port 135 meiner Box, zuzugreifen:
Code:
21:23:56.934276 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 30, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.238: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 59, id 30, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.238.22776 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:03.592531 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 6965, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.238: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 59, id 6965, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.238.25416 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:06.211944 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 28896, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.128: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 28896, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.128.27560 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:24:32.263363 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 799, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.70: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 59, id 799, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.70.30184 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:42.926297 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 19244, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.57: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 19244, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.57.63565 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:46.959481 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 5094, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.72: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 123, id 5094, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.72.28987 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:25:01.612222 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 18197, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.26: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 123, id 18197, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.26.18380 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:26:14.552417 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 23887, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.233: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 123, id 23887, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.233.56370 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:26:16.197383 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 27959, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.27: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 27959, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.27.22548 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:26:20.489586 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 15065, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.25: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 15065, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.25.13319 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]
Kann jemand dieses Verhalten der FB7170, erklären? Danke.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,139
Punkte für Reaktionen
114
Punkte
63
Hallo,

die Pakete in dem Log sind diejenigen deiner Box?

Port 135 gehört zu den Windows RPC Ports. Windows schickt schon mal öfter Anfragen an diese Ports an seine Rechnernachbarschaft. Wenn Leute ihr Kabelmodem direkt am PC anschließen, dann schickt Windows die auch auch ins Internet. Wenn ein solches Paket auf deine Fritzbox stößt, dann blockt sie das und schickt brav ein "ICMP unreachable" an den Sender zurück, um ihm mitzuteilen, dass der Port bei dir geblockt wird.
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
8,014
Punkte für Reaktionen
28
Punkte
48
Hallo,

danke für die Antwort. Ja, die Pakete im Log gehören zu meiner Box.

Ich verstehe das Log aber so, dass die Initiative von meiner Box aus geht. Denn die linke öffentliche IP-Adresse bzw. die linke MAC-Adresse, ist die meiner Box. Und erst dann versucht die fremde IP-Adresse, auf Port 135 meiner Box zuzugreifen. Oder sehe ich das falsch?

Code:
21:26:20.489586 [COLOR="Red"]00:1x:xx:xx:xx:x[/COLOR] > [COLOR="Blue"]00:yy:yy:yy:yy:a0[/COLOR], ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 15065, offset 0, flags [none], proto ICMP (1), length 56) [COLOR="#ff0000"]78.42.xxx.xxx[/COLOR] > [COLOR="Blue"]78.42.yyy.25[/COLOR]: ICMP host [COLOR="Red"]78.42.xxx.xxx[/COLOR] unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 15065, offset 0, flags [DF], proto TCP (6), length 52) [COLOR="#0000ff"]78.42.yyy.25[/COLOR].13319 > [COLOR="Red"]78.42.xxx.xxx.135[/COLOR]:  tcp 28 [bad hdr length 4 - too short, < 20]
rot -> meine Box
blau -> fremde IP-Adresse
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,139
Punkte für Reaktionen
114
Punkte
63

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
8,014
Punkte für Reaktionen
28
Punkte
48
Hallo,

ok, dann bin ich zufrieden, wenn dieser Traffic nicht von meiner Box kommt. Ein Kabelmodem ohne Router und mit Windows-PC, verursacht schon ziemlich viel unnützen Datenverkehr im Internet. Danke.
 
Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via