FIN Scan - YouTube
 

Mein Router meldet mir andauernd wenn ich folgendes Video abspiele
http://www.youtube.com/watch?v=lBpPd...sg22;topicseen
einen FIN Scan:
FIN Scan - Source:192.168.x.y,54103,LAN - Destination:64.15.120.230,443,WAN

die ports vom source variieren.
ein whois sagte mir die destination sei youtube.
wikipedia schreibt folgendes:
nun frage ich mich ob diese meldung bedeutet, daß youtube auf meine ip einen fin scan durchführt...

danke für aufklärung. vl spinnt ja nur mein router.

hm bekam noch einige solcher mails darunter eine mit 3 seiten folgender meldungen:

TCP Packet - Source:192.168.x.y,22483 ,LAN - Destination:64.15.120.230,47873 ,WAN [Drop] - [FIN Scan]

in diesem fall ist der destination port immer gleich nur der source port ändert sich dauernd die bank durch...

kann mir wer sagen was das ist? danke.

jemand hat an deiner tür geläutet - und?

Hmm, da gerade kurz davor bei mir das Internet "gestockt" hat & immer noch tut, hab ich mir mal die Firewall des Routers und der Softwarefirewall angeschaut. Beim Router habe ich auch das gleiche:

DOS [TCP]: Attack Incoming 195.113.232.99->0.0.0.0 [FIN Scan]
DOS [TCP]: Attack Incoming 91.121.166.198->0.0.0.0 [ACK Scan]

aber auch

DOS [TCP]: Attack Outgoing 192.168.0.100->0.0.0.0 [FIN Scan]

Software-Firewall:
Jolt2 Attack von verschiedenen IP-Adressen wie von APA!

Stockt das Internet weil der Router angegriffen wird oder ich einen Trojaner drauf habe?

Welchen Provider hast du oitt?

Jetzt tauchen in den Logs meiner Software-Firewall Sachen auf, dass mein Router mir Jolt2 Attacks schickt ...

Woran erkenne ich, dass er kompromitiert wurde?

Sollte ich mehr Ports sperren?

hab gerade ein firmware upgrade gemacht und ich hoffe es haben sich damit einige probleme gelöst...seltsamerweise ging der upload nur sporadisch. jetzt aber scheint es zu funktionieren halbwegs. muß ich noch weiterbeobachten.

Liwest ist mein Provider (Kabel)

TCP Session - Source:85.190.0.3,55181 ,WAN - Destination:meine.ip,8015 ,LAN [Reset] - [SYN Flood]
whois sagte ein deutscher...
was heißt das? ist das nun ein syn flood oder hat der sogar eine tcp session zu meinem lan oder gar router? wurde mein router hijacked?

:eek:

ich vermute nun langsam mein netgear fwg114p wlan router wurde g'hijacked...
ohne den router hab ich keine probleme mehr...mit wars grauenvoll die letzten 2 tage...
kann wer was dazu sagen, diese meinung bestätigen, oder was anderes behaupten?
danke.

ok ich sage was,
bestätigen kann ich das nicht,
ich denke es liegt am kalten wetter (ist eine ganz andere behauptung ;) )

Sorry verzeih mir aber musste sein
Pööser Telconter Pösse :)

Habe original den gleichen Router zuhause ( um genau zu sein den V2 )
aber das deiner hijacked ist ??? ist glaube ich schon weit hergeholt

:lol:

ja magst recht haben...hab gerade einen nmap scan auf diese ip und einen offenen http port gefunden, also eingegeben im browser und siehe da:
If you see portscans/abuse from 85.190.0.3 Please read http://freenode.net/policy.shtml#proxies

arghs :hammer: :D

dennoch scheint mein router gesponnen zu haben....die verbindung war mit router urlangsam...versteh noch nicht alles, aber bin der sache auf der spur :-)

danke tel! :-)

Dass der Großteil der sogenannten freien anonymisierenden Proxies vom Geheimdienst betrieben werden, scheinst noch nicht geschnallt zu haben. Aber denen vergönne ich jedenfalls, sich den Kopf über Deine Zeilen zerbrechen zu müssen :lol:

ja ja ja treib meine paranoia noch auf den höhepunkt...kurz nach meinem letzten post war das modem plötzlich down...hab mir dabei alles mögliche eingebildet, aber kam zum schluß: höchstens der dritte strike mit überspringung der ersten beiden ;)
war nur ein kabelausfall in meiner region...7.30 angerufen und schon aufgeklärt wurde...

Paranoia? Aber nein! Ich will, dass Du Dir sicher bist, dass zu Deiner Sicherheit und zu Deinem Wohl gut auf Dich aufgepasst wird :D

man muß gleich auf dich aufpassen :D

Aber sicher, ich bin ganz sicher :-)

ich empfehle vor weiteren postings mal das studium folgender webseite http://de.wikipedia.org/wiki/Transmi...ntrol_Protocol


Zur Aufklärung:

Das ist kein FIN scan sondern ein TCP/IP packet mit dem TCP Control-flag "FIN" (Finished) im header, welches üblicherweiße bei Verbindungsabbau eingesetzt wird. Die (dümmliche ;)) Firewall des Routers interpretiert dies als (Port)Scan-Attacke, deswegen [FIN Scan].

Habe mir mit Wireshark (=Sniffer) angesehen, was da genau passieren könnte.


Folgender Ablauf:
1) Video wird aufgrufen und angesehen. Ingesamt wird ein Datentransfer mit 3 verschiedenen youtube servern aufgebaut.(webpage, videotransfer,...)
2) Video noch nicht fertig, aber Browserfenster wird geschlossen
3) Der TCP/IP stack deines Rechers schickt IP Pakete mit dem RST (=Reset) flag Richtung youtube, welche prompt nach wenigen ms das versenden weitere (Video)Daten einstellt (1 Verbindung geschlossen).
4) Nacht gut 12s schickt youttube jedoch nochmals TCP/IP Pakte mit dem FIN flag um den Verbindungsabbau der übrigen TCP/IP Verbindungen einzuleiten.
5) Bei meinem Rechner werden diese Pakte zumindest noch mit ACKnowlede Pakten beantwortet, bei dir fühlt sich bereits die (externe) Firewall zuständig, verwirft die Pakte und triggert einen Alarm...

so, oder soähnlich könnte es ich abgespielt haben... ;)

ah vielen dank!