Kann mir jemand folgenden firewall logfile eintrag erklären

maxb · 16.05.2002, 00:39

davon hab' ich täglich hunderte bis tausend im logfile!!!

die meisten von mit fast identischen IP Adressen wie 62.178.59.91 oder 80.108.16.179.

z.zt. läuft edonkey2000

Date: 15.05.2002 Time: 19:33:25
Rule "Default Block UPNP" blocked (239.255.255.250,ssdp(1900)). Details:
Inbound UDP packet
Local address,service is (239.255.255.250,ssdp(1900))
Remote address,service is (80.108.16.92,ssdp(1900))
Process name is "N/A"

_m3 · 16.05.2002, 01:03

Das User Datagram Protocol (UDP) ist ein Protokoll der TCP/IP Familie.
Am Port 1900 lauscht das UPnP-Service von Microsoft.

Vielelciht versuchen irgendwelche Looser, eine bekannte Sicherheitslücke im UPnP auszunutzen. Details gibts her: http://www.eeye.com/html/Research/Ad...D20011220.html
Oder alle W2k/XP Rechner im Chello-Netz schicken Broadcasts, um eventuelle UPnP Geräte zu finden - dann gehört aber Chello für eine besch.... Netzwerktopologie geschlagen.

62.178.59.91 ist anscheinend ein Looser im Chello-Netz, 80.108.16.179 detto

maxb · 16.05.2002, 01:22

wie kann ich auschließen dass nicht mein rechner quelle dieser broadcasts ist

_m3 · 16.05.2002, 01:55

UPnP Dienst deaktivieren fällt mir so auf die Schnelle ein.

Nachtrag:
If I can’t install the patch, is there any other way to protect my system?

Yes. You can protect your system by disabling the UPnP capability. However, before doing so, you should understand that this will effect how certain system functions operate. Most notably, disabling UPnP in Windows XP will affect the operation of Internet Connection Sharing (ICS) feature, which enables multiple Windows machines to share a single connection through a Windows XP system to the Internet. If the UPnP capability is disabled, ICS clients will be unable to automatically detect the Internet gateway, and you will need to configure the gateway information manually on every client system. Here’s how to disable the UPnP capability:

Windows XP:
1. Log on using an account that has administrative privileges.
2. Click Start, then right-click on My Computer and select Manage.
3. In the left-hand pane, click the “+” next to Services and Applications, then click on Services.
4. In the right-hand pane, right-click on SSDP Discovery Service and select Properties.
5. In the pull-down list titled Startup Type, select Disabled.
6. In the Service Status section of the dialogue, click on Stop.
7. Click OK to exit the dialogue, then close the Computer Management window.
Windows ME:
1. Click Start, Settings, then select Control Panel.
2. Select Add/Remove Programs.
3. Select the tab titled Windows Set-up.
4. In the Components field, select Communications, then Details.
5. Uncheck the box for Universal Plug and Play.
6. Click OK to exit the dialogue, then close the Windows Set-up dialogue.
7. Reboot the machine.
Windows 98 or 98SE:
1. Click Start, Settings, then select Control Panel.
2. Select Add/Remove Programs.
3. Select the tab titled Windows Set-up.
4. In the Components field, select Communications, then Details.
5. Uncheck the box for Universal Plug and Play.
6. Click OK to exit the dialogue, then close the Windows Set-up dialogue.
7. Reboot the machine.

GangMan · 16.05.2002, 16:15

Zitat:

Original geschrieben von _m3
Das User Datagram Protocol (UDP) ist ein Protokoll der TCP/IP Familie.

Äh, nein...
<Besserwisser>
TCP/IP Familie ist ein schlechter Ausdruck, weil IP ein Übertragungsprotokoll am OSI Layer 3 ist, das sich darum kümmert, wie die Daten von A nach B kommen und TCP das Protokoll ist, das für die korrekte Datenübertragung sorgt. Dieses liegt auf OSI Layer 4.
UDP ist genauso ein Protokoll wie TCP, nur dass UDP ungesicherte Datenübertragung "betreibt", während TCP versichert, dass auch das alles ankommt, was gesendet wurde.
</Besserwisser>

UDP wird halt hauptsächlich für Streaming und Mulitmediadienste verwendet, weil es einfach schneller als TCP ist. Vielleicht erklären sich dadurch auch die Firewall Logs...

Greetz! GangMan

_m3 · 16.05.2002, 16:25

Du hast natürlich recht (Details gibts auch im neuen WCM 170), aber TCP/IP-Familie ist IMHO immer noch besser/korrekter als "TCP/IP-Protokoll", da es sowas ja gar nicht gibt.

Ich hab jetzt noch extra nachgeschaut. Auch in meinem Uni-Lehrbuch (Distributed Systems) ist von "TCP/IP-Family" die Rede - da dürfte ich das wahrscheinlich her haben.

UDP ist genauso ein Protokoll wie TCP
Hab ja auch nix anderes behauptet

maxb · 16.05.2002, 16:35

Zitat:

Original geschrieben von GangMan
UDP wird halt hauptsächlich für Streaming und Mulitmediadienste verwendet, weil es einfach schneller als TCP ist. Vielleicht erklären sich dadurch auch die Firewall Logs...

möglich, denn edonkey verwendet auch UDP connections, da muss ich aber nochmals nachschauen

GangMan · 16.05.2002, 17:41

Zitat:

Original geschrieben von _m3
Hab ja auch nix anderes behauptet

Stimmt, aber wenn man sowas schon lernen muss, dann wird man wohl noch damit protzen können!

Greetz! GangMan

maxb · 28.05.2002, 20:46

ich hab' den SSDP Suchdienst jetzt deaktiviert, der war mir nicht mehr geheuer, denn er hat bis zu 10 logfile einträge in meiner firewall hinterlassen

Bastet · 31.05.2002, 09:47

Windows XP und Universal Plug and Play

Die vor einiger Zeit durch eEye-Digital-Security veröffentlichte Sicherheitslücke hat noch weitere Auswirkungen, die bei Benutzern von Firewallsystemen einige Verwirrung auslösen könnte.

Bei der Sicherheitslücke ist es durch die standardmäßig installierte "Universal Plug and Play" Unterstützung möglich, über einen Pufferüberlauf beliebigen Code im Zielsystem auszuführen und so die Kontrolle über den Rechner zu bekommen. Eine weitere Sicherheitslücke kann dazu genutzt werden, einen Denial of Service Angriff zu starten, auch wenn auf dem Zielrechner kein Windows XP installiert ist. Es reicht aus, wenn auf dem angegriffenen Computer die XP Software für das Internet Connection Sharing (ICS) läuft.

Für diese Sicherheitslücken stellt Microsoft zwischenzeitlich einen Patch bereit unter: UPNP-Patch

Benutzer von Firewalls können mitunter durch seltsame Verbindungsanzeigen arg irritiert werden. So sendet die Datei svchost.exe (ein Sammelprozess für verschiedene Prozesse) UDP (User Datagramm Protokoll) Pakete über Port 1900 an die Broadcast-Adresse 239.255.255.250. Der dahinterliegende Sinn sind so genannte SSDP (simple service discovery protokoll) Pakete. Die bereits unter Windows ME eingeführte Unterstützung für Universal Plug and Play sendet auf Basis eines eingeschränkten XML-Parsers Informationen von PNP fähigen Geräten in das Netzwerk, um sie anderen SSDP fähigen Rechnern bekannt zu machen. Leider ist der SSDP-Dienst aber zu dumm um festzustellen, ob ein Rechner überhaupt in einem LAN betrieben wird und sendet so auch von Einzelplatzrechnern diese Informationen los.

Das Mittel der Wahl ist die dauerhafte Deaktivierung des SSDP-Dienstes. Gehen Sie dabei wie folgt vor:

Öffnen Sie die Verwaltung über "Start/Einstellungen/Systemsteuerung/Verwaltung"
Wählen Sie "Dienste" aus.
Deaktivieren Sie SSDP Suchdienst(ssdpsrv.exe) in den Komponentendiensten der Verwaltung.

Anschließend sollten die mysteriösen Verbindungsaufnahmen beendet sein.

Einen weiterführenden Artikel über das UPNP-Problem finden Sie auch bei Rotalarm.de unter: UPN-Lücke

16.05.2002, 00:39	#1
maxb Großmeister Registriert seit: 06.08.2001 Ort: Wien Beiträge: 5.077 Mein Computer	Kann mir jemand folgenden firewall logfile eintrag erklären davon hab' ich täglich hunderte bis tausend im logfile!!! die meisten von mit fast identischen IP Adressen wie 62.178.59.91 oder 80.108.16.179. z.zt. läuft edonkey2000 Date: 15.05.2002 Time: 19:33:25 Rule "Default Block UPNP" blocked (239.255.255.250,ssdp(1900)). Details: Inbound UDP packet Local address,service is (239.255.255.250,ssdp(1900)) Remote address,service is (80.108.16.92,ssdp(1900)) Process name is "N/A"

16.05.2002, 01:03	#2
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	Das User Datagram Protocol (UDP) ist ein Protokoll der TCP/IP Familie. Am Port 1900 lauscht das UPnP-Service von Microsoft. Vielelciht versuchen irgendwelche Looser, eine bekannte Sicherheitslücke im UPnP auszunutzen. Details gibts her: http://www.eeye.com/html/Research/Ad...D20011220.html Oder alle W2k/XP Rechner im Chello-Netz schicken Broadcasts, um eventuelle UPnP Geräte zu finden - dann gehört aber Chello für eine besch.... Netzwerktopologie geschlagen. 62.178.59.91 ist anscheinend ein Looser im Chello-Netz, 80.108.16.179 detto ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

16.05.2002, 01:55	#4
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	UPnP Dienst deaktivieren fällt mir so auf die Schnelle ein. Nachtrag: If I can’t install the patch, is there any other way to protect my system? Yes. You can protect your system by disabling the UPnP capability. However, before doing so, you should understand that this will effect how certain system functions operate. Most notably, disabling UPnP in Windows XP will affect the operation of Internet Connection Sharing (ICS) feature, which enables multiple Windows machines to share a single connection through a Windows XP system to the Internet. If the UPnP capability is disabled, ICS clients will be unable to automatically detect the Internet gateway, and you will need to configure the gateway information manually on every client system. Here’s how to disable the UPnP capability: Windows XP: 1. Log on using an account that has administrative privileges. 2. Click Start, then right-click on My Computer and select Manage. 3. In the left-hand pane, click the “+” next to Services and Applications, then click on Services. 4. In the right-hand pane, right-click on SSDP Discovery Service and select Properties. 5. In the pull-down list titled Startup Type, select Disabled. 6. In the Service Status section of the dialogue, click on Stop. 7. Click OK to exit the dialogue, then close the Computer Management window. Windows ME: 1. Click Start, Settings, then select Control Panel. 2. Select Add/Remove Programs. 3. Select the tab titled Windows Set-up. 4. In the Components field, select Communications, then Details. 5. Uncheck the box for Universal Plug and Play. 6. Click OK to exit the dialogue, then close the Windows Set-up dialogue. 7. Reboot the machine. Windows 98 or 98SE: 1. Click Start, Settings, then select Control Panel. 2. Select Add/Remove Programs. 3. Select the tab titled Windows Set-up. 4. In the Components field, select Communications, then Details. 5. Uncheck the box for Universal Plug and Play. 6. Click OK to exit the dialogue, then close the Windows Set-up dialogue. 7. Reboot the machine. ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

16.05.2002, 16:25	#6
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	Du hast natürlich recht (Details gibts auch im neuen WCM 170), aber TCP/IP-Familie ist IMHO immer noch besser/korrekter als "TCP/IP-Protokoll", da es sowas ja gar nicht gibt. Ich hab jetzt noch extra nachgeschaut. Auch in meinem Uni-Lehrbuch (Distributed Systems) ist von "TCP/IP-Family" die Rede - da dürfte ich das wahrscheinlich her haben. UDP ist genauso ein Protokoll wie TCP Hab ja auch nix anderes behauptet ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

31.05.2002, 09:47	#10
Bastet Elite Registriert seit: 07.09.2000 Beiträge: 1.036	Windows XP und Universal Plug and Play Die vor einiger Zeit durch eEye-Digital-Security veröffentlichte Sicherheitslücke hat noch weitere Auswirkungen, die bei Benutzern von Firewallsystemen einige Verwirrung auslösen könnte. Bei der Sicherheitslücke ist es durch die standardmäßig installierte "Universal Plug and Play" Unterstützung möglich, über einen Pufferüberlauf beliebigen Code im Zielsystem auszuführen und so die Kontrolle über den Rechner zu bekommen. Eine weitere Sicherheitslücke kann dazu genutzt werden, einen Denial of Service Angriff zu starten, auch wenn auf dem Zielrechner kein Windows XP installiert ist. Es reicht aus, wenn auf dem angegriffenen Computer die XP Software für das Internet Connection Sharing (ICS) läuft. Für diese Sicherheitslücken stellt Microsoft zwischenzeitlich einen Patch bereit unter: UPNP-Patch Benutzer von Firewalls können mitunter durch seltsame Verbindungsanzeigen arg irritiert werden. So sendet die Datei svchost.exe (ein Sammelprozess für verschiedene Prozesse) UDP (User Datagramm Protokoll) Pakete über Port 1900 an die Broadcast-Adresse 239.255.255.250. Der dahinterliegende Sinn sind so genannte SSDP (simple service discovery protokoll) Pakete. Die bereits unter Windows ME eingeführte Unterstützung für Universal Plug and Play sendet auf Basis eines eingeschränkten XML-Parsers Informationen von PNP fähigen Geräten in das Netzwerk, um sie anderen SSDP fähigen Rechnern bekannt zu machen. Leider ist der SSDP-Dienst aber zu dumm um festzustellen, ob ein Rechner überhaupt in einem LAN betrieben wird und sendet so auch von Einzelplatzrechnern diese Informationen los. Das Mittel der Wahl ist die dauerhafte Deaktivierung des SSDP-Dienstes. Gehen Sie dabei wie folgt vor: Öffnen Sie die Verwaltung über "Start/Einstellungen/Systemsteuerung/Verwaltung" Wählen Sie "Dienste" aus. Deaktivieren Sie SSDP Suchdienst(ssdpsrv.exe) in den Komponentendiensten der Verwaltung. Anschließend sollten die mysteriösen Verbindungsaufnahmen beendet sein. Einen weiterführenden Artikel über das UPNP-Problem finden Sie auch bei Rotalarm.de unter: UPN-Lücke ____________________________________ Bye Bastet

16.05.2002, 01:22	#3
maxb Großmeister Registriert seit: 06.08.2001 Ort: Wien Beiträge: 5.077 Mein Computer	wie kann ich auschließen dass nicht mein rechner quelle dieser broadcasts ist

28.05.2002, 20:46	#9
maxb Großmeister Registriert seit: 06.08.2001 Ort: Wien Beiträge: 5.077 Mein Computer	ich hab' den SSDP Suchdienst jetzt deaktiviert, der war mir nicht mehr geheuer, denn er hat bis zu 10 logfile einträge in meiner firewall hinterlassen

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)