FB7170 erzeugt Dauertraffic

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,771
Punkte für Reaktionen
10
Punkte
38
Hallo,

habe eine FB7170 als Router hinter einem Kabelmodem.
Mit tcpdump -nevv -i wan icmp stelle ich Anfragen von meiner Box, auf IP-Adressen aus dem Bereich der IP-Adresse (78.42.xxx.xxx) der Box, fest (ca. 3 bis 4 mal in der Minute). Von der fremden IP-Adresse wird dann versucht, auf Port 135 meiner Box, zuzugreifen:
Code:
21:23:56.934276 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 30, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.238: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 59, id 30, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.238.22776 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:03.592531 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 6965, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.238: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 59, id 6965, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.238.25416 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:06.211944 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 28896, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.128: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 28896, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.128.27560 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:24:32.263363 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 799, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.70: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 59, id 799, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.70.30184 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:42.926297 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 19244, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.57: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 19244, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.57.63565 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:46.959481 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 5094, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.72: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 123, id 5094, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.72.28987 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:25:01.612222 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 18197, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.26: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 123, id 18197, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.26.18380 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:26:14.552417 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 23887, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.233: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 123, id 23887, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.233.56370 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:26:16.197383 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 27959, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.27: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 27959, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.27.22548 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:26:20.489586 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 15065, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.25: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 15065, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.25.13319 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]
Kann jemand dieses Verhalten der FB7170, erklären? Danke.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
36
Hallo,

die Pakete in dem Log sind diejenigen deiner Box?

Port 135 gehört zu den Windows RPC Ports. Windows schickt schon mal öfter Anfragen an diese Ports an seine Rechnernachbarschaft. Wenn Leute ihr Kabelmodem direkt am PC anschließen, dann schickt Windows die auch auch ins Internet. Wenn ein solches Paket auf deine Fritzbox stößt, dann blockt sie das und schickt brav ein "ICMP unreachable" an den Sender zurück, um ihm mitzuteilen, dass der Port bei dir geblockt wird.
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,771
Punkte für Reaktionen
10
Punkte
38
Hallo,

danke für die Antwort. Ja, die Pakete im Log gehören zu meiner Box.

Ich verstehe das Log aber so, dass die Initiative von meiner Box aus geht. Denn die linke öffentliche IP-Adresse bzw. die linke MAC-Adresse, ist die meiner Box. Und erst dann versucht die fremde IP-Adresse, auf Port 135 meiner Box zuzugreifen. Oder sehe ich das falsch?

Code:
21:26:20.489586 [COLOR="Red"]00:1x:xx:xx:xx:x[/COLOR] > [COLOR="Blue"]00:yy:yy:yy:yy:a0[/COLOR], ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 15065, offset 0, flags [none], proto ICMP (1), length 56) [COLOR="#ff0000"]78.42.xxx.xxx[/COLOR] > [COLOR="Blue"]78.42.yyy.25[/COLOR]: ICMP host [COLOR="Red"]78.42.xxx.xxx[/COLOR] unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 15065, offset 0, flags [DF], proto TCP (6), length 52) [COLOR="#0000ff"]78.42.yyy.25[/COLOR].13319 > [COLOR="Red"]78.42.xxx.xxx.135[/COLOR]:  tcp 28 [bad hdr length 4 - too short, < 20]
rot -> meine Box
blau -> fremde IP-Adresse
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,571
Punkte für Reaktionen
1
Punkte
36

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,771
Punkte für Reaktionen
10
Punkte
38
Hallo,

ok, dann bin ich zufrieden, wenn dieser Traffic nicht von meiner Box kommt. Ein Kabelmodem ohne Router und mit Windows-PC, verursacht schon ziemlich viel unnützen Datenverkehr im Internet. Danke.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,755
Beiträge
2,038,035
Mitglieder
352,680
Neuestes Mitglied
tastex85