IP 172.17.2.250 - Blocked: In protocol [89]
 

bei der analyse meines firewall-logfiles hab ich festgestellt, dass ich seit dem gestrigen rechnerstart am nachmittag tausende einträge dieser art von einer IP bekomme.ähem: als erstes wollt ich gleich mal mit visualroute den übeltäter suchen (ohne mein hirn anzustrengen und zu bedenken, dass 172.x.x.x ja zur privaten nutzung vorgesehen sind ;) )

nagut, dachte ich mir, schau ma halt mal im google nach wozu das eigentlich ist - auch hier hab ich nix gefunden ...

kann mir bitte wer erklären, wozu dieses protocol 89 verwendet wird und was das ausgelöst hat? ich hab nämlich definitiv nichts an meinem rechner verändert.

ist da vielleicht irgendwo ein router falsch konfiguriert worden :ms: ?

achja, die einträge kommen im 10-sekunden takt ...

edit: gelöscht

Klingt auf jeden Fall ziemlich nach einem Netzwerkinternen Zugriff.

EDIT: google ist doch fündig geworden link


Ist ein IP Protokoll und hat irgendwas mit Routing zu tun, wenn ich das jetzt auf die schnelle richtgi verstanden hab, kenn mich da aber auch net so gut aus.

nochmal EDIT: achja Ergebnis 4. und 8. im google sinds.

nur, dass ergebnis 4. und 8. überhaupt nix damit zu tun haben ;)

naja aber "protocol" und "89" kommen drin vor und mit Computern hats auch zu tun :D

Steht auch irgendwo ein Zielport dabei?
Ich hatte auch schon massig solche Einträge, ein ganz witziger wollte mit einer gefälschten IP in mein Sys kommen, natürlich werden die Pakete von "privaten" IPs sofort verworfen und geloggt.

Re: IP 172.17.2.250 - Blocked: In protocol [89]
 

das ist der ganze eintrag ... mehr gibts leider nicht ... wenn ein lokaler port dabei stünde, dann würd ich eh mal schaun, welches programm auf diesem port hört ... :(

Welche Firewall hast Du?
Wie gesagt ich vermute einen Verrückten mit einer gefälschten IP.

tiny personal firewall 2.0.15a

naja, ein verrückter, der alle 10 sec. die gleiche attacke macht? ... und das seit gestern nachmittag? ich glaub ich muss mal die ip wechseln und nachschaun, ob das dann immer noch der fall ist :D

Ja ja, das ist gut möglich, solche Verrückte gibt's genug.

Das hab ich herraus gefunden:
172.17.2.250 gehört zu:
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-serv...copyright.html

inetnum: 172.16.0.0 - 172.31.255.255
netname: IANA-BBLK-RESERVED1
descr: Class B address space for private internets
descr: See http://www.ripe.net/db/rfc1918.html for details
country: NL
admin-c: RFC1918-RIPE
tech-c: RFC1918-RIPE
status: ALLOCATED UNSPECIFIED
remarks: Country is really worldwide
remarks: This network should never be routed outside an enterprise
remarks: See RFC1918 for further information
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
changed: rfc1918@ripe.net 20020129
source: RIPE

role: RFC1918 Role
address: Singel 258
address: 1016 AB Amsterdam
address: The Netherlands
e-mail: rfc1918@ripe.net
trouble: See http://www.ripe.net/db/rfc1918.html
admin-c: RFC1918-RIPE
tech-c: RFC1918-RIPE
nic-hdl: RFC1918-RIPE
mnt-by: RIPE-DBM-MNT
changed: rfc1918@ripe.net 20020121
source: RIPE

hoffe es hilft dir weiter.

@Memphis daraus geht ja nur hervor, dass die IP für private Nutzung vorgesehen ist, wie pc.net schon gepostet hat.

hi pc.net

ich verwende auch TPFW 2 und habe ADSL von der TA, ich hab aber schon seit anfang an IP-Protocol 103 und 2 und seit kurzem auch UDP 520...

kommt alles von meinem ADSL-VPN-SERVER...

welchen i-net Zugang hast du?

ADSL von der TA.

und von welcher IP kommts?

:hehe:

172.19.64.185

aber die TPFW müsste den namen ja eh a la WBADCR16.highway.telekom.at auflösen...

[e]

ah ja, bei mir sinds 30 sec Abstände...

na ... es wird nix aufglöst ...

außerdem kommts ja über protokoll 89 rein (bzw. ned rein, weils ja geblocket wird ;) ) ... und des würd mich am meisten interessieren, was das zu bedeuten hat :confused:

BTW...was ich noch sagen wollte:

ich block alles ab was von der TA kommt, die werden ja schon schlimmer als MS...

und auf die Geschwindigkeit des i-net Zugangs nimmts m.E. keinen Einfluß, jedenfalls keinen merkbaren...

50kB mit DAP bei guter Connection

hm...

naja, was schickt dir denn dein adsl-server???

k.a. was mir der schickt ... ich glaub eher, die haben einen router falsch konfiguriert

vielleicht glaubt der ja, mein rechner (mit proxy-sw) ist der nächste hop :ms:, nur weil dahinter noch ein paar rechner dran hängen ...

vielleicht wollns auch nur schaun ob der böse junge ein lan betreibt...

ich block ja auch prinzipiell alles was von aon kommt ab :ms:

wenns mich scannen, sehens höchstens, dass ich eine gut konfigurierte fw hab :hehe:

btw: um herauszufinden, ob ein lan mit proxy vorhanden ist reichts ja wenns die tcp/ip-header analysieren ...

was ist dieses protokoll 89 - des findet man nirgends ... gibts das überhaupt???

jetzt hab ich was gefunden:

also definitiv ein router ...

achja: das steht in diesem dokument:
http://www.appliedinterconnect.com/c...RPA_detect.pdf

@pc.net aber das was du oben gepostet hast, war eines der google-ergebnisse die ich bekommen habe, also bin ich doch net so falsch gelegen ;)

ok, ok ... geb dir ja recht ... nur war ich zu der uhrzeit nicht mehr ganz zurechnungsfähig :D

wobei, jetzt bin ichs eigentlich auch nicht ... vielleicht irgendwann am wochenende halt - oder besser nächst woche dann, weil morgen ist ja forumstreffen :hehe: