Darksun777 10 Geschrieben 11. März 2005 Melden Geschrieben 11. März 2005 Hallo Forum, es ist wohl etwas OffTopic, aber ich frage trotzdem mal hier.. und hoffe jemand kann mich aufklären. Situation: Internet --> IPCop 1.4.2 --> W2k3-Terminalserver mit L2TP/IPSec VPN Seit heute Nacht läuft das IntrusionDetectionProtokoll von IPCop im sekundenabstand (!) voll mit folgenden Einträgen: Date: 03/11 00:00:42 Name: ICMP Destination Unreachable Communication Administratively Prohibited Priority: 3 Type: Misc activity IP Info: 80.132.55.71 -> 192.168.30.3 SID: 485 Refs: Die SourceIP (angreifer) ist eine Dialin-Adresse der T-COM (vermutlich DSL Anschluss) Man beachte, der Zugriffsversuch geht direkt auf die interne Adresse des Terminalservers, NICHT auf die externe IPCop-Adresse! Und das obwohl der Terminalserver (noch) niemandem bekannt ist. Ich kann mit dem Logeintrag allerdings nicht viel anfangen, vielleicht kann mir jemand von euch sagen was da passiert ? Please Help... Grüße
carlito 10 Geschrieben 11. März 2005 Melden Geschrieben 11. März 2005 Ein Angriff über ICMP? 'Destination Unreachable' ist klar, aber wie kann jemand von außen einen Ping auf eine interne IP absetzen? Das führt doch zu nichts, es sei denn auf dem Router läuft NAT in beide Richtungen!?
Darksun777 10 Geschrieben 11. März 2005 Autor Melden Geschrieben 11. März 2005 Keine Ahnung was da los ist ! Der IPCop macht NAT natürlich nur von innen nach aussen .. Ausser den Portweiterleitungen für VPN (IPSEC) wird von aussen alles gedropt... Deswegen wundert mich das ja so ! Es ist seit ueber 14 Stunden diesselbe IP die das im Sekundentakt macht ...
carlito 10 Geschrieben 11. März 2005 Melden Geschrieben 11. März 2005 Bist du sicher, das es ein Angriff ist? Ich würde erstmal auf einen (neuen) Konfigurationsfehler tippen. Denn unabhängig davon wüsste ich spontan nicht, was diese Art von Angriff bringen sollte - wenn es überhaupt ein Angriff ist.
zuschauer 10 Geschrieben 11. März 2005 Melden Geschrieben 11. März 2005 Hi ! Dieser "Angriff" kann garnicht von außen kommen. Kein Router im I-Net routet was für ein 192.168.x.x-Subnetz ! Ich tippe eher, Du hast in Deinem internen Netz einen Client stehen mit einer offenen DFÜ-Verbindung oder mit einer NW-Karte, die als zusätzliche IP diese 80.132.55.71 konfiguriert hat.
carlito 10 Geschrieben 12. März 2005 Melden Geschrieben 12. März 2005 Dieser "Angriff" kann garnicht von außen kommen. Kein Router im I-Net routet was für ein 192.168.x.x-Subnetz ! Das würde mich auch wundern. Ich tippe eher, Du hast in Deinem internen Netz einen Client stehen mit einer offenen DFÜ-Verbindung oder mit einer NW-Karte, die als zusätzliche IP diese 80.132.55.71 konfiguriert hat. Wobei die Frage ist, warum im sekundenabstand(!) ICMP Pakete gesendet werden?
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden