FB7170 erzeugt Dauertraffic

sf3978 · 6 Dez 2008

Hallo,

habe eine FB7170 als Router hinter einem Kabelmodem.
Mit tcpdump -nevv -i wan icmp stelle ich Anfragen von meiner Box, auf IP-Adressen aus dem Bereich der IP-Adresse (78.42.xxx.xxx) der Box, fest (ca. 3 bis 4 mal in der Minute). Von der fremden IP-Adresse wird dann versucht, auf Port 135 meiner Box, zuzugreifen:

Code:

21:23:56.934276 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 30, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.238: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 59, id 30, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.238.22776 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:03.592531 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 6965, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.238: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 59, id 6965, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.238.25416 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:06.211944 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 28896, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.128: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 28896, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.128.27560 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:24:32.263363 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 799, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.70: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 59, id 799, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.70.30184 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:42.926297 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 19244, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.57: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 19244, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.57.63565 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:24:46.959481 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 5094, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.72: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 123, id 5094, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.72.28987 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:25:01.612222 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 18197, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.26: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 123, id 18197, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.26.18380 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:26:14.552417 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 23887, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.233: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 123, id 23887, offset 0, flags [DF], proto TCP (6), length 64) 78.42.yyy.233.56370 > 78.42.xxx.xxx.135:  tcp 40 [bad hdr length 4 - too short, < 20]

21:26:16.197383 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 27959, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.27: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 27959, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.27.22548 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

21:26:20.489586 00:1x:xx:xx:xx:x > 00:yy:yy:yy:yy:a0, ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 15065, offset 0, flags [none], proto ICMP (1), length 56) 78.42.xxx.xxx > 78.42.yyy.25: ICMP host 78.42.xxx.xxx unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 15065, offset 0, flags [DF], proto TCP (6), length 52) 78.42.yyy.25.13319 > 78.42.xxx.xxx.135:  tcp 28 [bad hdr length 4 - too short, < 20]

Kann jemand dieses Verhalten der FB7170, erklären? Danke.

frank_m24 · 6 Dez 2008

Hallo,

die Pakete in dem Log sind diejenigen deiner Box?

Port 135 gehört zu den Windows RPC Ports. Windows schickt schon mal öfter Anfragen an diese Ports an seine Rechnernachbarschaft. Wenn Leute ihr Kabelmodem direkt am PC anschließen, dann schickt Windows die auch auch ins Internet. Wenn ein solches Paket auf deine Fritzbox stößt, dann blockt sie das und schickt brav ein "ICMP unreachable" an den Sender zurück, um ihm mitzuteilen, dass der Port bei dir geblockt wird.

sf3978 · 6 Dez 2008

Hallo,

danke für die Antwort. Ja, die Pakete im Log gehören zu meiner Box.

Ich verstehe das Log aber so, dass die Initiative von meiner Box aus geht. Denn die linke öffentliche IP-Adresse bzw. die linke MAC-Adresse, ist die meiner Box. Und erst dann versucht die fremde IP-Adresse, auf Port 135 meiner Box zuzugreifen. Oder sehe ich das falsch?

Code:

21:26:20.489586 [COLOR="Red"]00:1x:xx:xx:xx:x[/COLOR] > [COLOR="Blue"]00:yy:yy:yy:yy:a0[/COLOR], ethertype IPv4 (0x0800), length 70: (tos 0xc0, ttl 64, id 15065, offset 0, flags [none], proto ICMP (1), length 56) [COLOR="#ff0000"]78.42.xxx.xxx[/COLOR] > [COLOR="Blue"]78.42.yyy.25[/COLOR]: ICMP host [COLOR="Red"]78.42.xxx.xxx[/COLOR] unreachable - admin prohibited filter, length 36
        (tos 0x0, ttl 58, id 15065, offset 0, flags [DF], proto TCP (6), length 52) [COLOR="#0000ff"]78.42.yyy.25[/COLOR].13319 > [COLOR="Red"]78.42.xxx.xxx.135[/COLOR]:  tcp 28 [bad hdr length 4 - too short, < 20]

rot -> meine Box
blau -> fremde IP-Adresse

frank_m24 · 6 Dez 2008

Hallo,

nee, ICMP Unreachable ist eine Reaktion auf eine Anfrage. Außerdem kann deine Box mit Port 135 nichts anfangen - und schon gar nicht mit dem ICMP Protokoll.

http://de.wikipedia.org/wiki/Firewall-Regelwerk#Ablehnen_oder_Verwerfen

sf3978 · 7 Dez 2008

Hallo,

ok, dann bin ich zufrieden, wenn dieser Traffic nicht von meiner Box kommt. Ein Kabelmodem ohne Router und mit Windows-PC, verursacht schon ziemlich viel unnützen Datenverkehr im Internet. Danke.

Languages

Suche

Languages

Suche

FB7170 erzeugt Dauertraffic

sf3978

IPPF-Promi

frank_m24

IPPF-Urgestein

sf3978

IPPF-Promi

frank_m24

IPPF-Urgestein

sf3978

IPPF-Promi

Zurzeit aktive Besucher

Neueste Beiträge

Statistik des Forums