FIN Scan - YouTube

[oitt]

Mein Router meldet mir andauernd wenn ich folgendes Video abspiele
http://www.youtube.com/watch?v=lBpPd...sg22;topicseen
einen FIN Scan:
FIN Scan - Source:192.168.x.y,54103,LAN - Destination:64.15.120.230,443,WAN

die ports vom source variieren.
ein whois sagte mir die destination sei youtube.
wikipedia schreibt folgendes:

Zitat:

TCP FIN/Xmas/Null Scan Diese Methoden bauen keine Verbindung auf, sondern untersuchen das Verhalten auf Folgepakete. Falls ein Port offen ist, sollten die Folgepakete ignoriert werden, da sie nicht zu einer bestehenden Verbindung gehören. Ist der Port geschlossen, sollte ein Reset-Paket gesendet werden.

nun frage ich mich ob diese meldung bedeutet, daß youtube auf meine ip einen fin scan durchführt...

danke für aufklärung. vl spinnt ja nur mein router.

[oitt]

hm bekam noch einige solcher mails darunter eine mit 3 seiten folgender meldungen:

TCP Packet - Source:192.168.x.y,22483 ,LAN - Destination:64.15.120.230,47873 ,WAN [Drop] - [FIN Scan]

in diesem fall ist der destination port immer gleich nur der source port ändert sich dauernd die bank durch...

kann mir wer sagen was das ist? danke.

jemand hat an deiner tür geläutet - und?

[anve]

Hmm, da gerade kurz davor bei mir das Internet "gestockt" hat & immer noch tut, hab ich mir mal die Firewall des Routers und der Softwarefirewall angeschaut. Beim Router habe ich auch das gleiche:

DOS [TCP]: Attack Incoming 195.113.232.99->0.0.0.0 [FIN Scan]
DOS [TCP]: Attack Incoming 91.121.166.198->0.0.0.0 [ACK Scan]

aber auch

DOS [TCP]: Attack Outgoing 192.168.0.100->0.0.0.0 [FIN Scan]

Software-Firewall:
Jolt2 Attack von verschiedenen IP-Adressen wie von APA!

Stockt das Internet weil der Router angegriffen wird oder ich einen Trojaner drauf habe?

Welchen Provider hast du oitt?

[anve]

Jetzt tauchen in den Logs meiner Software-Firewall Sachen auf, dass mein Router mir Jolt2 Attacks schickt ...

Woran erkenne ich, dass er kompromitiert wurde?

Sollte ich mehr Ports sperren?

[oitt]

hab gerade ein firmware upgrade gemacht und ich hoffe es haben sich damit einige probleme gelöst...seltsamerweise ging der upload nur sporadisch. jetzt aber scheint es zu funktionieren halbwegs. muß ich noch weiterbeobachten.

Liwest ist mein Provider (Kabel)

[oitt]

TCP Session - Source:85.190.0.3,55181 ,WAN - Destination:meine.ip,8015 ,LAN [Reset] - [SYN Flood]
whois sagte ein deutscher...
was heißt das? ist das nun ein syn flood oder hat der sogar eine tcp session zu meinem lan oder gar router? wurde mein router hijacked?

[oitt]

ich vermute nun langsam mein netgear fwg114p wlan router wurde g'hijacked...
ohne den router hab ich keine probleme mehr...mit wars grauenvoll die letzten 2 tage...
kann wer was dazu sagen, diese meinung bestätigen, oder was anderes behaupten?
danke.

[Telcontar]

Zitat:

Zitat von oitt

....kann wer was dazu sagen, diese meinung bestätigen, oder was anderes behaupten?
danke.

ok ich sage was,
bestätigen kann ich das nicht,
ich denke es liegt am kalten wetter (ist eine ganz andere behauptung )

Sorry verzeih mir aber musste sein
Pööser Telconter Pösse

Habe original den gleichen Router zuhause ( um genau zu sein den V2 )
aber das deiner hijacked ist ??? ist glaube ich schon weit hergeholt

[oitt]

ja magst recht haben...hab gerade einen nmap scan auf diese ip und einen offenen http port gefunden, also eingegeben im browser und siehe da:
If you see portscans/abuse from 85.190.0.3 Please read http://freenode.net/policy.shtml#proxies

arghs

dennoch scheint mein router gesponnen zu haben....die verbindung war mit router urlangsam...versteh noch nicht alles, aber bin der sache auf der spur

danke tel!