|
Bedeutung eines Router Log Eintrags?
Hallo Leute
Ich habe da mal ne Frage bezüglich eines Eintrages im Logfile meines Routers, welcher aber massenhaft vorkommt. Und zwar ist das: Sonntag, 19. September 2010 21:38:40 TX TCP reset for 192.168.123.113(3374) -> 192.168.123.254(139) Wobei aber die Nummer, wo jetzt 3374 steht, unregelmässig hochgezählt wird. Wie gesagt, dieser Eintrag habe ich massenhaft. Was genau bedeuted das? Muss ich mir da über irgendwas Sorgen machen? Vielen Dank jedenfalls schonmal für die Info. ;) Gruss Wildfoot |
x.x.x.254 ist üblicherweise die broadcast-adresse in einem tcp/ip-segment ...
der rechner mit der ip 192.168.123.113 sendet da offenbar entsprechende pakete auf den port 139 ... dieser port wird für die windows-netzwerkfreigaben genutzt ... ev. hast du da ein windows-media-center oder entsprechende freigaben im lokalen netzwerk am laufen ;) |
Jo klar, 192.168.123.254 ist mein USR8001 Router. ;)
Hmm... Dieser *.113 Rechner hat einen Pure Evoke Flow-Server, ob eventuell das hier der Fall sein könnte? Aber ich weiss garnicht, ob dieser Server eigentlich noch aktiv ist, bin mir nämlich nicht sicher, ob wir den nicht mal deaktiviert hatten? Ich muss dem glaubs mal nachgehen. Gibt es eigentlich niergends ein Manual, in dem beschrieben ist, was die einzelnen Log-Zeilen eines USR-Routers bedeuten? Bei USR selbst habe ich da nichts gefunden. Es gäbe da nämlich noch mehr, was mir nicht klar ist: Montag, 20. September 2010 12:38:47 ICMP: type 3 code 1 from 81.92.99.252 Montag, 20. September 2010 12:39:17 ICMP: type 3 code 3 from 192.168.123.177 um nur noch ein paar Beispiele zu zeigen. Gruss Wildfoot |
|
Ja wunderbar, da wird das Ganze ja gleich viel verständlicher. ;)
Merci für den Link. Gruss Wildfoot |
hmmmm....
also > ICMP: type 3 code 1 from 81.92.99.252 würd ich mal einfach liegen lassen, icmp ist nicht per default pöhse.... bei > massenhaft [...] TX TCP reset for 192.168.123.113(3374) -> 192.168.123.254(139) würde ich interessieren, WOHER das rauschen kommt, denn tcp/139 verwenden doch einige schadprogramme (deaktivieren/deinstallieren der unnötigen dienste, system checken, und - vor allem - dieser maschine bis auf weiteres nicht mehr vertrauen!) |
Zitat:
|
Naja, bezüglich massenhaft:
Dienstag, 21. September 2010 18:31:16 TX TCP reset for 192.168.123.113(1133) -> 192.168.123.254(445) Dienstag, 21. September 2010 18:31:16 TX TCP reset for 192.168.123.113(1133) -> 192.168.123.254(445) Dienstag, 21. September 2010 18:31:17 TX TCP reset for 192.168.123.113(1133) -> 192.168.123.254(445) Dienstag, 21. September 2010 18:31:32 TX TCP reset for 192.168.123.113(1138) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:31:32 TX TCP reset for 192.168.123.113(1138) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:31:33 TX TCP reset for 192.168.123.113(1138) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:31:48 TX TCP reset for 192.168.123.113(1144) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:31:49 TX TCP reset for 192.168.123.113(1144) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:31:49 TX TCP reset for 192.168.123.113(1144) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:04 TX TCP reset for 192.168.123.113(1149) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:05 TX TCP reset for 192.168.123.113(1149) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:05 TX TCP reset for 192.168.123.113(1149) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:20 TX TCP reset for 192.168.123.113(1154) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:21 TX TCP reset for 192.168.123.113(1154) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:22 TX TCP reset for 192.168.123.113(1154) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:37 TX TCP reset for 192.168.123.113(1159) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:37 TX TCP reset for 192.168.123.113(1159) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:38 TX TCP reset for 192.168.123.113(1159) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:53 TX TCP reset for 192.168.123.113(1164) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:53 TX TCP reset for 192.168.123.113(1164) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:32:54 TX TCP reset for 192.168.123.113(1164) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:09 TX TCP reset for 192.168.123.113(1169) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:09 TX TCP reset for 192.168.123.113(1169) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:10 TX TCP reset for 192.168.123.113(1169) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:25 TX TCP reset for 192.168.123.113(1174) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:26 TX TCP reset for 192.168.123.113(1174) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:26 TX TCP reset for 192.168.123.113(1174) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:41 TX TCP reset for 192.168.123.113(1183) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:42 TX TCP reset for 192.168.123.113(1183) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:42 TX TCP reset for 192.168.123.113(1183) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:57 TX TCP reset for 192.168.123.113(1195) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:58 TX TCP reset for 192.168.123.113(1195) -> 192.168.123.254(139) Dienstag, 21. September 2010 18:33:58 TX TCP reset for 192.168.123.113(1195) -> 192.168.123.254(139) Das ist der Auszug des letzten Blockes dieser "Error-Meldung", ist ja nicht gerade wenig. Aber eben, könnte das vom Evoke Flow-Server kommen? Gruss Wildfoot |
@LouCypher
danke für den hinweis ... irgendwie hab ich da gestern wohl nicht mehr von 0 bis 255 zählen können und mich selbst aufs glatteis geführt :rolleyes: |
Hmm...
Also Evoke sollte deaktiviert sein. Dieser *.113er Rechner ist noch eine der ganz wenigen WinXP Maschinen in unserem Netzwerk, falls diese Info was hilft. Gruss Wildfoot |
Also um die Msg möglichst einfach zu erklären:
TX TCP reset bedeutet nichts anderes, wie dass eine Verbindung, welche aufgebaut wurde nicht mehr richtig geschlossen wurde und durch ein "Time Out" von Seite des Routers beendet wurde. Das Port 139 auf welches versucht wird zuzugreifen wird von MS für file und drucksharing (bzw. NetBios) verwendet. Die sich ändernde Zahl ist das Port, von welchem aus die Verbindung aufgebaut wurde, dies kann eine beliebige Zahl zw. 2048 und ca. 65000 sein. Ich persönlich würde mir Sorgen machen, dass dein WinXP Rechner einen Wurm / Bot hat und versucht sich auf weitere Geräte auszubreiten. Es kann aber auch sein, dass es dabei einfach nur um einen "scann" von Windows im Netzwerk handelt ... aber bei so vielen Zugriffsversuchen, würde ich Mal nen Virenscanner rennen lassen. Es wird scheinbar alle 15sek 3x versucht sich auf Port 139 zu verbinden ... Vielleicht wirklich nur dieser automatischer suche shares im Netzwerk-Service ... |
Mit "TCPVIEW" könntest du ev. den Verursacher ausfindig machen. Gibt es als kostenlosen Download auf Heise. In den Sysinternals ist es auch drinnen.
Beschreibung zu TCPVIEW: Zeigt offene TCP/UDP-Ports auf einem System; unter Windows 2000/XP listet es auch die jeweils zu einem Port gehörenden Prozesse auf lg. Hajo24 PS: läuft auch auf W7-64 |
|
| Alle Zeitangaben in WEZ +2. Es ist jetzt 16:05 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag