.titleBar { margin-bottom: 5px!important; }

FB7170 erzeugt Dauertraffic

Dieses Thema im Forum "FRITZ!Box Fon als ATA" wurde erstellt von sf3978, 6 Dez. 2008.

  1. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,613
    Zustimmungen:
    3
    Punkte für Erfolge:
    38
    Hallo,

    habe eine FB7170 als Router hinter einem Kabelmodem.
    Mit tcpdump -nevv -i wan icmp stelle ich Anfragen von meiner Box, auf IP-Adressen aus dem Bereich der IP-Adresse (78.42.xxx.xxx) der Box, fest (ca. 3 bis 4 mal in der Minute). Von der fremden IP-Adresse wird dann versucht, auf Port 135 meiner Box, zuzugreifen:
    Code:
    21:23:56.934276 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 30, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.238: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
            (tos 0x0, ttl 59, id 30, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.238.22776 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]
    
    21:24:03.592531 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 6965, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.238: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
            (tos 0x0, ttl 59, id 6965, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.238.25416 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]
    
    21:24:06.211944 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 28896, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.128: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
            (tos 0x0, ttl 58, id 28896, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.128.27560 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]
    
    21:24:32.263363 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 799, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.70: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
            (tos 0x0, ttl 59, id 799, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.70.30184 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]
    
    21:24:42.926297 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 19244, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.57: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
            (tos 0x0, ttl 58, id 19244, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.57.63565 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]
    
    21:24:46.959481 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 5094, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.72: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
            (tos 0x0, ttl 123, id 5094, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.72.28987 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]
    
    21:25:01.612222 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 18197, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.26: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
            (tos 0x0, ttl 123, id 18197, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.26.18380 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]
    
    21:26:14.552417 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 23887, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.233: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
            (tos 0x0, ttl 123, id 23887, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.233.56370 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]
    
    21:26:16.197383 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 27959, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.27: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
            (tos 0x0, ttl 58, id 27959, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.27.22548 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]
    
    21:26:20.489586 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 15065, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.25: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
            (tos 0x0, ttl 58, id 15065, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.25.13319 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]
    Kann jemand dieses Verhalten der FB7170, erklären? Danke.
     
  2. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
    Hallo,

    die Pakete in dem Log sind diejenigen deiner Box?

    Port 135 gehört zu den Windows RPC Ports. Windows schickt schon mal öfter Anfragen an diese Ports an seine Rechnernachbarschaft. Wenn Leute ihr Kabelmodem direkt am PC anschließen, dann schickt Windows die auch auch ins Internet. Wenn ein solches Paket auf deine Fritzbox stößt, dann blockt sie das und schickt brav ein "ICMP unreachable" an den Sender zurück, um ihm mitzuteilen, dass der Port bei dir geblockt wird.
     
  3. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,613
    Zustimmungen:
    3
    Punkte für Erfolge:
    38
    Hallo,

    danke für die Antwort. Ja, die Pakete im Log gehören zu meiner Box.

    Ich verstehe das Log aber so, dass die Initiative von meiner Box aus geht. Denn die linke öffentliche IP-Adresse bzw. die linke MAC-Adresse, ist die meiner Box. Und erst dann versucht die fremde IP-Adresse, auf Port 135 meiner Box zuzugreifen. Oder sehe ich das falsch?

    Code:
    21:26:20.489586 [COLOR="Red"]00:1x:xx:xx:xx:x[/COLOR] > [COLOR="Blue"]00:yy:yy:yy:yy:a0[/COLOR], ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 15065, offset 0, flags [none], proto ICMP (1), length 56) [COLOR="#ff0000"]78.42.xxx.xxx[/COLOR] > [COLOR="Blue"]78.42.yyy.25[/COLOR]: ICMP host [COLOR="Red"]78.42.xxx.xxx[/COLOR] unreachable - admin prohibited filter, length 36
            (tos 0x0, ttl 58, id 15065, offset 0, flags [DF], proto TCP (6), length 52) [COLOR="#0000ff"]78.42.yyy.25[/COLOR].13319 > [COLOR="Red"]78.42.xxx.xxx.135[/COLOR]:  tcp 28 [bad hdr length 4 - too short, < 20]
    rot -> meine Box
    blau -> fremde IP-Adresse
     
  4. frank_m24

    frank_m24 IPPF-Urgestein

    Registriert seit:
    20 Aug. 2005
    Beiträge:
    17,571
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Niederrhein
  5. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,613
    Zustimmungen:
    3
    Punkte für Erfolge:
    38
    Hallo,

    ok, dann bin ich zufrieden, wenn dieser Traffic nicht von meiner Box kommt. Ein Kabelmodem ohne Router und mit Windows-PC, verursacht schon ziemlich viel unnützen Datenverkehr im Internet. Danke.