Norton Internet Security 2004 -Angriff von eigener IP?

Sector · 11.12.2003, 20:06

NIS meldet dauern folgenden Angriff:
Ein Computer mit der folgenden IP-Adresse ...hat Informationen gesendet, die Merkmale eines Invalid UDP-Destination Port_Angriffs aufweisen.

Die IP-Adresse ist aber meine eigene!!!

Die Symantec-site meint dazu folgendes:

Invalid UDP Destination Port
Severity: Low

This attack poses a minor threat. Corrective action may not be possible or is not required.

Attack Category: Suspicious Activity

Anomalous network conditions or traffic patterns. A suspicious activity signature, for example, might detect two systems with identical IP addresses, a condition that indicates an attempted IP spoofing attack.

Description

This attack signature detects packets that have a UDP destination port of 0. 0 is an invalid value for the UDP destination port and must not be used.

Additional Information

Attackers sometime send UDP packets with a destination port of 0 as means of fingerprinting/profiling your operating system.

False Positive

None.

Frage: Was heißt/bedeutet das und wo liegt das Problem?

Prasman · 12.12.2003, 11:49

Hast du denn irgenteine p2p software laufen?

Ich bekomm diese Sicherheitsmeldungen alle 10 Sekunden - die seh ich mir gar nicht mehr an...

Sector · 12.12.2003, 12:32

bei mir läuft Overnet und manchmal Kazaa light. Seit heute habe ich keine Meldungen mehr und weiß nicht, wieso. Bisher sah es so aus, als ob ich mich selbst anpingen würde.

Prasman · 12.12.2003, 12:39

Ja ist wegen overnet u Kazaa...

wie gesagt ich bekomm die meldungen alle 10 Sekunden...

MyZelf · 12.12.2003, 12:47

Bullshit!
Das mit selbstanpingen damit liegt ihr garnicht soweit weg.

Es ist folgendes:

NIS scannt die ganze Zeit über die Ports auf Aktivität. Was passiert nun dabei?
NIS überwacht also alle Ports, und schickt dann alle heiligen Zeiten einen Ping auf eien automatisch generierten Port, um zu sehen ob die Connection noch steht.
Ist offiziell ein Bug von NIS, meiner Meinung nach allerdings nur eine Einstellungssache. Müssts euch ein bisschen spielen mit "check always for connection" bla bla.. irgendsowas...

Prasman · 12.12.2003, 12:53

Zitat:

Original geschrieben von MyZelf
Bullshit!
Das mit selbstanpingen damit liegt ihr garnicht soweit weg.

Es ist folgendes:

NIS scannt die ganze Zeit über die Ports auf Aktivität. Was passiert nun dabei?
NIS überwacht also alle Ports, und schickt dann alle heiligen Zeiten einen Ping auf eien automatisch generierten Port, um zu sehen ob die Connection noch steht.
Ist offiziell ein Bug von NIS, meiner Meinung nach allerdings nur eine Einstellungssache. Müssts euch ein bisschen spielen mit "check always for connection" bla bla.. irgendsowas...

Lieber Norton Experte!

Warum hab ich ueberhaupt keine Sicherheitswarnungen, wenn ich nur Serve? Da bekomme mal eine am Tag. Wenn ich jedoch meine p2p tools laufen habe, bekomme ich die alle 10 Sekunden. - Das ist ganz normal weil ich x tausend Verbindungen zu anderen PC's aufbaue.

Hatte ich schon immer und ich verwende NIS schon seit der ersten version.

Pass also auf, was du als "Bullshit" deklarierst.

Sector · 12.12.2003, 19:14

He, he, slow down!

Bin für alle Beiträge dankbar und nur weil ich mich nicht auskenne, braucht ihr nicht zu streiten

g17 · 12.12.2003, 20:37

Scheint ein zu paranoid eingestelltes IDS zu sein

http://www.symantec.com/sabu/nis/nis_pe/features.html

_____________________________________________
Norton™ Intrusion Detection automatically blocks Internet attacks
______________________________________________

Wenn ich z.B Snort zu paranoid einstelle meldet er mir ununterbrochen Portscans die eigentlich normale Website zugriffe sind. Das sieht dann so wie auf dem Bild unten aus.
Schau ob du das irgendwie abdrehen kannst.

HTH
g17

PS.: 192.168.123.195 bin ich selbst

11.12.2003, 20:06	#1
Sector Veteran Registriert seit: 23.01.2000 Beiträge: 425	Norton Internet Security 2004 -Angriff von eigener IP? NIS meldet dauern folgenden Angriff: Ein Computer mit der folgenden IP-Adresse ...hat Informationen gesendet, die Merkmale eines Invalid UDP-Destination Port_Angriffs aufweisen. Die IP-Adresse ist aber meine eigene!!! Die Symantec-site meint dazu folgendes: Invalid UDP Destination Port Severity: Low This attack poses a minor threat. Corrective action may not be possible or is not required. Attack Category: Suspicious Activity Anomalous network conditions or traffic patterns. A suspicious activity signature, for example, might detect two systems with identical IP addresses, a condition that indicates an attempted IP spoofing attack. Description This attack signature detects packets that have a UDP destination port of 0. 0 is an invalid value for the UDP destination port and must not be used. Additional Information Attackers sometime send UDP packets with a destination port of 0 as means of fingerprinting/profiling your operating system. False Positive None. Frage: Was heißt/bedeutet das und wo liegt das Problem? ____________________________________ Sector

12.12.2003, 11:49	#2
Prasman Inventar Registriert seit: 29.05.2003 Beiträge: 1.727	Hast du denn irgenteine p2p software laufen? Ich bekomm diese Sicherheitsmeldungen alle 10 Sekunden - die seh ich mir gar nicht mehr an... ____________________________________ mfg Prasman "I can look at a chick who's a little out of shape and if she turns me on, I won't hesitate to date her. If she's a good fuck, she can weigh 150 pounds, I don't care."- Arnold Schwarzenegger 1977

12.12.2003, 12:32	#3
Sector Veteran Registriert seit: 23.01.2000 Beiträge: 425	bei mir läuft Overnet und manchmal Kazaa light. Seit heute habe ich keine Meldungen mehr und weiß nicht, wieso. Bisher sah es so aus, als ob ich mich selbst anpingen würde. ____________________________________ Sector

12.12.2003, 12:39	#4
Prasman Inventar Registriert seit: 29.05.2003 Beiträge: 1.727	Ja ist wegen overnet u Kazaa... wie gesagt ich bekomm die meldungen alle 10 Sekunden... ____________________________________ mfg Prasman "I can look at a chick who's a little out of shape and if she turns me on, I won't hesitate to date her. If she's a good fuck, she can weigh 150 pounds, I don't care."- Arnold Schwarzenegger 1977

12.12.2003, 12:47	#5
MyZelf Jr. Member Registriert seit: 18.11.2001 Alter: 41 Beiträge: 71	Bullshit! Das mit selbstanpingen damit liegt ihr garnicht soweit weg. Es ist folgendes: NIS scannt die ganze Zeit über die Ports auf Aktivität. Was passiert nun dabei? NIS überwacht also alle Ports, und schickt dann alle heiligen Zeiten einen Ping auf eien automatisch generierten Port, um zu sehen ob die Connection noch steht. Ist offiziell ein Bug von NIS, meiner Meinung nach allerdings nur eine Einstellungssache. Müssts euch ein bisschen spielen mit "check always for connection" bla bla.. irgendsowas... ____________________________________ Wenn du nicht mit können begeistern kannst, verwirre mit Schwachsinn ;-)

12.12.2003, 19:14	#7
Sector Veteran Registriert seit: 23.01.2000 Beiträge: 425	He, he, slow down! Bin für alle Beiträge dankbar und nur weil ich mich nicht auskenne, braucht ihr nicht zu streiten ____________________________________ Sector

12.12.2003, 20:37	#8
g17 Elite Registriert seit: 13.07.2001 Beiträge: 1.339	Scheint ein zu paranoid eingestelltes IDS zu sein http://www.symantec.com/sabu/nis/nis_pe/features.html _____________________________________________ Norton™ Intrusion Detection automatically blocks Internet attacks ______________________________________________ Wenn ich z.B Snort zu paranoid einstelle meldet er mir ununterbrochen Portscans die eigentlich normale Website zugriffe sind. Das sieht dann so wie auf dem Bild unten aus. Schau ob du das irgendwie abdrehen kannst. HTH g17 PS.: 192.168.123.195 bin ich selbst

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)