Robotrontechnik-Forum

Registrieren || Einloggen || Hilfe/FAQ || Suche || Mitglieder || Home || Statistik || Kalender || Admins Willkommen Gast! RSS

Robotrontechnik-Forum » Technische Diskussionen » Firewall » Themenansicht

Autor Thread - Seiten: -1-
000
15.11.2022, 16:41 Uhr
PIC18F2550

Avatar von PIC18F2550

Hallo,
ich wollte mal fragen ob es bei bei euch auch diese Menge an Einschlägen in die Firewall gibt.

Zur Zeit habe ich ca. 50% aller Einschläge aus der NL.
Das sind heute schon 42297.


45.9.148.215 NL
45.9.148.220 NL
45.9.148.251 NL

45.142.192.10 NL
45.142.192.11 NL

45.143.203.6 NL

45.148.10.81 NL

80.82.77.234 NL

185.156.73.91 NL
185.156.73.109 NL
185.156.73.178 NL

mit 41% besonders Auffällig
89.248.163.144 NL
89.248.163.199 NL
89.248.163.200 NL
89.248.165.17 NL
89.248.165.53 NL
89.248.165.185 NL
89.248.165.202 NL


organisation: ORG-IVI1-RIPE
org-name: IP Volume inc
org-type: OTHER
country: SC
address: Suite 9
address: Victoria, Mahe
address: Seychelles
abuse-c: IVNO1-RIPE
mnt-ref: IPV
mnt-by: IPV
created: 2018-05-14T11:46:50Z
last-modified: 2022-10-31T15:01:42Z
source: RIPE # Filtered

role: RECYBER ROLE
address: 35 Firs Avenue, London, England, N11 3NE
abuse-mailbox: abuse@recyber.net
nic-hdl: RR13369-RIPE
mnt-by: IPV
created: 2021-01-27T15:12:59Z
last-modified: 2021-01-27T15:12:59Z
source: RIPE # Filtered
--
42 ist die Antwort auf die "Frage nach dem Leben, dem Universum und dem ganzen Rest"
Aktuelle Projektdokumentationen
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
001
15.11.2022, 18:27 Uhr
felge1966
Default Group and Edit


Aus der Richtung erfolgen übrigens auch permanent Login Versuche auf die Fritzbox.
Also nicht ungewöhnlich.

Gruß Jörg
--
http://felgentreu.spdns.org/bilder/jacob120.gif
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
002
15.11.2022, 18:34 Uhr
ggrohmann



Hallo!


Zitat:
PIC18F2550 schrieb
Hallo,
ich wollte mal fragen ob es bei bei euch auch diese Menge an Einschlägen in die Firewall gibt.

Zur Zeit habe ich ca. 50% aller Einschläge aus der NL.
Das sind heute schon 42297.


45.9.148.215 NL



Da hat du jetzt fein Unmengen an Buchstaben durch deine Abkürzerei gespart und wir sollen wohl jetzt raten, was "NL" bedeutet, insbesondere "aus der NL"? Was soll das?

Guido
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
003
15.11.2022, 18:35 Uhr
felge1966
Default Group and Edit


Holland...
--
http://felgentreu.spdns.org/bilder/jacob120.gif
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
004
15.11.2022, 19:03 Uhr
Dirk mit KC-4



89.248.163.144 UK recyber.net, Organization: IP Volume inc
89.248.163.199 UK recyber.net, Organization: IP Volume inc
89.248.163.200 UK recyber.net, Organization: IP Volume inc
89.248.165.17 UK recyber.net, Organization: IP Volume inc
89.248.165.53 UK recyber.net, Organization: IP Volume inc
89.248.165.185 NL recyber.net, Organization: IP Volume inc
89.248.165.202 UK recyber.net, Organization: IP Volume inc

Nicht holländische, englische Server sind das.
Die Webseite von denen ist bei allen
https://www.recyber.net/

(da kann man IPs ein bzw. austragen, ich trau der Sache dort aber nicht..)
Auf der Seite steht:

"The Recyber project assists researchers, universities and other educational
instutions. Partnered instutions use our platform to conduct their research."
"If you would like to opt-out from any research conducted by the Recyber
project, please enter the form below."

Übersetzt:
"Das Recyber-Projekt unterstützt Forscher, Universitäten und andere
Bildungseinrichtungen. Partnerinstitutionen nutzen unsere Plattform für ihre
Forschung.
Wenn Sie jegliche vom Recyber-Projekt durchgeführte Forschung ablehnen
möchten, füllen Sie bitte das folgende Formular aus."

Wenn du die Webseite von denen bei googel reinschmeißt kommt dazu einiges. Seiten bei denen Leute dazu sagen, das sie Portangriffe von recyber bekommen.

kannst du die Ports bestimmen bei denen die Angriffe bei dir ankommen?

aus dem Bauch würde ich 2 Sachen vermuten, entweder deine IP ist in deren Netzwerk gekommen und du gilst nun als "Forschungsrechner" oder die ganze Seite hat nix mit Forschung zu tun und es laufen ziellos Angriffe.

Weitere Infos wären nicht schlecht:
- Welche Ports werden bei dir angegriffen
- Laufen die Angriffe auch wenn dein Browser aus ist, oder nur wenn er an ist?
--
Ich kann 2 Dinge wirklich nur gut, zum einen war es die Fallschirmjägerei und zum anderen Computer. Fragt man, was ich nun besser kann, würden einige sagen das eine, andere würden das andere sagen. Aber im Grunde ist beides gleich: ein großes Abenteuer

Dieser Beitrag wurde am 15.11.2022 um 19:05 Uhr von Dirk mit KC-4 editiert.
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
005
15.11.2022, 19:20 Uhr
Dirk mit KC-4



Ich benutze seit Jahren dieses kleine Programm:

NetworkActivPIAFCTMv1.5.exe

bei WinXP und Win7 läuft es prima, ob es bei neueren Windows Versionen läuft weiß ich nicht. Das ist Sniffer, der zeigt nicht nur die IPs der Angriffe an, sondern auch die Ports und deren Datenpakete.
Start-auf Packet Modus klicken-deine IP auswählen und schauen wer dich so angreift..

hochgeladen hab ichs hier:
https://anonfiles.com/0c48AbHaya/NetworkActivPIAFCTMv1.5_zip
(das Programm ist Virenfrei!)

Wenn du ein neues Windows hast, "modernere" sniffer:
Wireshark (die alte Vorgänger Version hieß noch Ethereal), gibts hier:
https://www.wireshark.org/download.html
unten bei Version 3.x findest du noch die "alten" Versionen für Win32bit

empfehlen würd ich immer die portable Version, das muss nur entpackt werden und startet dann aus dem entpackten Ordner, Es muss also nichts installiert werden.
oder hier die einfache 64bit Install Version auch hier:
https://www.chip.de/downloads/Wireshark-64-Bit_40729497.html

Damit kannst du auch überprüfen auf welchen Ports die dich angreifen.
Schreib dann mal auf welchen Ports die dich angreifen, vielleicht hilft das weiter.

Zur Info allg. Ports: Sobald man eine Verbindung zum Internet hat bekommt man vom Provider (Telekom, Vodaphone, usw) ein "Bündel Kabel", jedes Kabel stellt einen Port dar. 32.000 Ports bekommt man (naja im Grunde 32.000 x 2, also 64.000). Davon benutzt man aber in der Praxis nur eine handvoll. Bsp:
Port 8080: Internet surfen, Datenaustausch zum anzeigen der Webseiten
Port 80: wie 8080
Port 20: für FTP Programme
Port 25: email senden, SMTP
Port 110: email empfangen, pop3
port 43: whois abfrage zum server
usw..
Wie gesagt, eine handvoll dieser Ports brauch man, der rest ist nutzlos ungenutzt.
Und da laufen dann Angriffe, treffen zu viele Datenpakete auf Ports mit denen der PC nix anfangen kann, stürzt meist der Server (also die Server Software wie apache) da drauf ab. Bekommen Server unzählige sinnlose Anfragen von Datenpakete auf den Ports 80 und 8080 können die Webseiten die da drauf liegen nicht mehr abgerufen, bzw. gesendet werden - das ist dann eine sog. DOS Attacke (Denial of Service, auf deutsch: außer Betrieb). Wird benutzt von Hacker und Aktivisten um Webseiten lahm zu legen, aktuell Ukraine und Russland, auf beiden Seiten laufen DOS Angriffe gegenseitig auf die jeweils "feindlichen" Webseiten. Für den Normaluser bedeutet das dann, Webseite www.blabla.ru nicht erreichbar, der Server knickt dann meist ein unter den Millionen DOS sinnlos Anfragen.
--
Ich kann 2 Dinge wirklich nur gut, zum einen war es die Fallschirmjägerei und zum anderen Computer. Fragt man, was ich nun besser kann, würden einige sagen das eine, andere würden das andere sagen. Aber im Grunde ist beides gleich: ein großes Abenteuer

Dieser Beitrag wurde am 15.11.2022 um 19:38 Uhr von Dirk mit KC-4 editiert.
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
006
15.11.2022, 19:56 Uhr
PIC18F2550

Avatar von PIC18F2550

Die meisten Einschläge kommen auf 443 von dort.
Aber auch ein Flächenabgraßung über alle Ports.
Was Auffällig ist, sind die Serviceports von Synology, Telekom und Websevern.

Bei mir Werkelt ein IP-Fire auf einem G7 von HP an einem dummgeschalteten Modem.
Für ein nur 750Mbit Glasfaserkabel unter Garantie überdimmensioniert.

Ausländische oder nicht identifizierbare IP's und ungenutzte Ports laufen über eine Extraschnittstelle auf einen PI mit Tarpit.



--
42 ist die Antwort auf die "Frage nach dem Leben, dem Universum und dem ganzen Rest"
Aktuelle Projektdokumentationen

Dieser Beitrag wurde am 15.11.2022 um 20:01 Uhr von PIC18F2550 editiert.
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
007
15.11.2022, 20:14 Uhr
Dirk mit KC-4



Port 443 ist Übertragung für Webseiten die nen s hinter http haben, also verschlüsselte Webseiten-Übertragung (eigentlich sinnlos, macht nur Sinn bei ebay oder online Banking, aber die Webseiten-Hoster verkaufen Webseiten-Betreibern gerne das s für x Euro monatlich als "Paket" dazu).

Die denken du bist nen Server und bei dir gibts Webseiten

Hast du einen der Sniffer mal laufen lassen ob da noch andere Ports angegriffen werden?

Und hast du überhaupt eine Serversoftware, apache oder so bei dir laufen, vielleicht zu Testzwecken apache installiert?

Die Ports kannst du übrigens sperren, 443 ist aber doof weil selbst die Webseite hier ein s hinter http hat.
Kannst dich aus dem Internet trennen und neu verbinden? (Dann bekommst du ja eine neue IP zugewiesen von deinem Provider). Bleiben dann die Angriffe auf den selben Ports? Starte aber vorher einen sniffer und vergleiche die Portangriffe.

Edit: kann sein das ein anderer Glasfaser-Internetkunde der vor dir diese IP hatte, dort einen "Forschungsrechner" laufen lies und nun denkt diese Firma du bist immer noch Forschungsrechner und schickt dir diese Anfragen.
Überlicherweise haben da drum echte Unirechner feste IPs, die sich nicht beim neu einwählen ständig ändern. Probier also mal, Internet trennen, neu einwählen, ob du überhaupt von deinem Glasfaser-Provider eine neue IP bekommst. Manche Provider verteilen eine neue IP nur alle 24 Stunden..

Edit2: auf dem Bild da steht CPU24. Du hast doch keine 24 CPUs verbaut und bist doch kein Uni-Großrechner?! Was zeigt das Programm also da an mit den 24 CPUs?
--
Ich kann 2 Dinge wirklich nur gut, zum einen war es die Fallschirmjägerei und zum anderen Computer. Fragt man, was ich nun besser kann, würden einige sagen das eine, andere würden das andere sagen. Aber im Grunde ist beides gleich: ein großes Abenteuer

Dieser Beitrag wurde am 15.11.2022 um 20:25 Uhr von Dirk mit KC-4 editiert.
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
008
15.11.2022, 21:03 Uhr
PIC18F2550

Avatar von PIC18F2550

Da werkeln nur 2 CPU's mit 12 Kernen.

Sniffer bringt nichts weil die Firewall schon blockt.
Auf keinen Server läuft Windoof.
Apache oder andere öffendliche Software läuft hier auch nicht.
Die Software auf dem Server ist eine Eigenentwicklung unserer Firma.
--
42 ist die Antwort auf die "Frage nach dem Leben, dem Universum und dem ganzen Rest"
Aktuelle Projektdokumentationen
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
009
16.11.2022, 01:24 Uhr
robbi
Default Group and Edit
Avatar von robbi

Wie wäre es mit fail2ban ?
--
Schreib wie du quatschst, dann schreibst du schlecht.
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
010
16.11.2022, 07:33 Uhr
ralle



Mittlerweile gibt es Desktop-CPU mit 14 Kernen und noch mehr. Boards, wo 2 und mehr CPU gesteckt werden konnten, gab es schon immer. Ob diese im bezahlbaren Bereich liegen, ist eher eine andere Frage.

Was anderes, aus den Niederlanden Hackerangriffe wäre mir neu, es sei AVM macht sowas um die eigene Produkte zu verbessern. Dafür habe ich eine SMS aus Polen bekommen, wo mir mitgeteilt wurde, das ich Mutter geworden bin. Ich sollte doch auf eine WhatsApp Nummer antworten. Lass mal diese Nummer gehackt sein, dann ist es vorstellbar, das die Angriffe außerhalb der EU kommen.
--
Gruß Ralle

Wenn Sie dazu neigen, Bedienungsanleitungen zusammen mit dem Verpackungsmaterial wegzuwerfen, sehen Sie bitte von einem derart drastischen Schritt ab!...
... Nachdem Sie das Gerät eine Weile ausprobiert haben, machen Sie es sich am besten mit dieser Anleitung und ihrem Lieblingsgetränk ein oder zwei Stunden lang in Ihrem Sessel bequem. Dieser Zeitaufwand wird Sie dann später belohnen...

aus KENWOOD-Bedienungsanleitung TM-D700
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
011
17.11.2022, 10:04 Uhr
PIC18F2550

Avatar von PIC18F2550

Ich hab mal die Log-Listen durchgesehen wie alles begann.


Quellcode:

             USA    NL    RU
10. August    3%    1%  0,2%
11. August   21%  0,3%  0,1%  < Start von Euro scann

13. August   26%    9%    7%  < Vorbereitung zur übergabe an US Base in NL ( Irland ist da außerhalb der EU nicht geeignet )

15. August   16%   26%    6%  < Stabilitätstest

17. August   18%   14%    7%  < Isolation der Transpazifischen Verbindung
18. August    6%   16%   14%

22. August    1%   38%    8%  < Leistungsstufe 2 ?




Seit dem sind die werte ungefähr gleich.
Auffällig ist immer wieder die 89.248.163.*.
--
42 ist die Antwort auf die "Frage nach dem Leben, dem Universum und dem ganzen Rest"
Aktuelle Projektdokumentationen
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
012
17.11.2022, 17:58 Uhr
Enrico
Default Group and Edit



Zitat:
ralle schrieb
Boards, wo 2 und mehr CPU gesteckt werden konnten, gab es schon immer. Ob diese im bezahlbaren Bereich liegen, ist eher eine andere Frage.


Ich hätte gerne nen 486iger, PDP oder VAX.
--
MFG
Enrico
Seitenanfang Seitenende
Profil || Private Nachricht || Suche Zitatantwort || Editieren || Löschen
Seiten: -1-     [ Technische Diskussionen ]  



Robotrontechnik-Forum

powered by ThWboard 3 Beta 2.84-php5
© by Paul Baecher & Felix Gonschorek