Scan attack 213.239.154.34 - Netwerken

donderdag 13 augustus 2009 00:50

Acties:

Topicstarter

Hallo,

Ik heb sinds een paar weken een melding in mijn firewall dat 213.239.154.34 een scan uitvoert en die word dan geblokkeerd.

Ik gebruik Agnitum Outpost firewall Pro 2009 6.7(2957.446.0711) op windows 7 RC 7100 32bit.

213.239.154.34 is van tweakers.net afkomstig. Ik heb al een exclusion ingevoerd in Outpost maar telkens opnieuw word tweakers geblokkeerd.

Dat scannen kan dat kwaad ? Waarvoor dient het ?

donderdag 13 augustus 2009 01:10

Acties:

Soultaker

Om wat voor traffic gaat het dan precies bij die scan attack? Hier kan natuurlijk niemand wat mee.

(Persoonlijk heb ik geen hoge pet op van firewall software voor Windows; de kans is groot dat volstrekt onschuldige traffic groot uitgemeten wordt zodat de makers kunnen doen alsof ze de gebruiker voor een enorm gevaar behoedt hebben terwijl er feitelijk niets aan de hand is. Zou me niets verbazen als dat hier ook het geval is.)

donderdag 13 augustus 2009 01:25

Acties:

abusimbal

Topicstarter

Heeft met de advertenties van tweakers te maken.

1:18:39 Block OUT TCP 192.168.1.99 50696 213.239.154.34 80 SYN 213.239.154.34

1:13:45 213.239.154.34 Host blocked for 5 min SCAN (55492, 54980, 55748, 55236, 6085, 6853, 5829, 9921, 9409, 11457, 10433, 10945, 9153, 10177)

Waarom moet die "scannen" ?

donderdag 13 augustus 2009 12:04

Acties:

LuckY

NVM: ip klopt niet
Zit je toevallig op tweakers.net IRC?

* - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 
* -  _____                       _   Welkom op de IRC servers van:     _   
* - |_   _|_      __ ___   __ _ | | __ ___  _ __  ___     _ __    ___ | |_ 
* -   | | \ \ /\ / // _ \ / _' || |/ // _ \| '__|/ __|   | '_ \  / _ \| __|
* -   | |  \ V  V /|  __/| (_| ||   <|  __/| |   \__ \ _ | | | ||  __/| |_ 
* -   |_|   \_/\_/  \___| \__,_||_|\_\\___||_|   |___/(_)|_| |_| \___| \__|
* -                   ___     _____     _              _ 
* -                  ( _ )   |  ___|__ | | __    _ __ | |
* -                  / _ \/\ | |_ / _ \| |/ /   | '_ \| |
* -                 | (_>  < |  _| (_) |   <  _ | | | | |
* -                  \___/\/ |_|  \___/|_|\_\(_)|_| |_|_|
* - 
* - Operators:
* -     kees       (kees at tweakers dot net)
* -     Breuls     (breuls at fok dot nl)
* -     HighLander (highlander at fok dot nl)
* -     Roelant    (roelant at tweakers dot net)
* -     hans       (hans at parse dot nl)
* -     moto-moi   (moto-moi at tweakers dot net)
* -     Curry      (curry at tweakers dot net)
* -     Tomsworld  (tomsworld at tweakers dot net)
* -   
* -     Om te zien welke operators online zijn:
* -         /ircops
* - 
* -     Let op: Deze server voert scans uit om te zien of u vanaf een 
* -     open proxy connect. Als dit het geval blijkt te zijn wordt uw
* -     verbinding verbroken.
* - 
* -     Als uw firewall een waarschuwing geeft over portscans vanaf 
* -     213.239.154.3 / 213.239.154.4 dan kunt u deze gerust
* -     negeren, dat is namelijk de server die bovenstaande scans 
* -     uitvoert.
* - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

[ Voor 95% gewijzigd door LuckY op 13-08-2009 12:06 ]

vrijdag 14 augustus 2009 00:05

Acties:

Soultaker

abusimbal schreef op donderdag 13 augustus 2009 @ 01:25:
Heeft met de advertenties van tweakers te maken.

1:18:39 Block OUT TCP 192.168.1.99 50696 213.239.154.34 80 SYN 213.239.154.34

Dit lijkt me de blokkade aan jouw kant (voor zover ik dat op kan maken uit te context); je verbinding met tweakimg.net wordt geblokeerd door je firewall.

1:13:45 213.239.154.34 Host blocked for 5 min SCAN (55492, 54980, 55748, 55236, 6085, 6853, 5829, 9921, 9409, 11457, 10433, 10945, 9153, 10177)

Waarom moet die "scannen" ?

Nogmaals, wat houdt die "scan" dan in? De kans blijft klein dat iemand hier wat mee kan als je niet kunt aangeven wat die host volgens jou nou precies verkeerd doet. (Als die getalletjes achter SCAN IPv4 poortnummers zijn, zijn die nogal onschuldig - allemaal in de unpriviliged range - maar dan is het nog steeds onduidelijk waar de firewall precies over klaagt).

vrijdag 14 augustus 2009 01:54

Acties:

abusimbal

Topicstarter

Ik heb de "ads blocker" afgezet, nu heb ik het niet meer. Wel vreemd dat mijn andere PC's dit niet hebben.
Ik zie voor de rest geen details. Mijn copy pastes hierboven is alles dat in de firewall staat.

Ik laat het even rusten. Omdat het van tweakers komt lig ik er niet van wakker, ook al niet omdat mijn andere PC's niet mekkeren.

Toch bedankt !

vrijdag 14 augustus 2009 10:17

Acties:

Kabouterplop01

chown -R me base:all

Nogmaals, wat houdt die "scan" dan in? De kans blijft klein dat iemand hier wat mee kan als je niet kunt aangeven wat die host volgens jou nou precies verkeerd doet. (Als die getalletjes achter SCAN IPv4 poortnummers zijn, zijn die nogal onschuldig - allemaal in de unpriviliged range - maar dan is het nog steeds onduidelijk waar de firewall precies over klaagt).

@Soultaker:
Heb je dan geen DPI firewall nodig om te zien wat die host probeert, tesamen met een tcpdump (dat is waarschijnlijk niet eens genoeg omdat je daarin alleen socketinformatie krijgt)?
Hoe zien IPv6 portnummers eruit?

[ Voor 10% gewijzigd door Kabouterplop01 op 14-08-2009 10:18 ]

vrijdag 14 augustus 2009 16:28

Acties:

Soultaker

Kabouterplop01 schreef op vrijdag 14 augustus 2009 @ 10:17:
@Soultaker:
Heb je dan geen DPI firewall nodig om te zien wat die host probeert, tesamen met een tcpdump (dat is waarschijnlijk niet eens genoeg omdat je daarin alleen socketinformatie krijgt)?

Ik zou verwachten dat als die firewal zo slim is om zelf verboden gedrag te identificeren hij niet alleen hosts blockt maar ook ergens logt waaróm die geblockt worden. Geen idee of dat gebeurt op basis van deep packet inspection of gewoon op het niveau van protocolheaders; het lijkt op het laatste, maar dan nog is de vraag wat er precies mis is. Probeert die host te verbinden op niet-bestaande ports? Zo ja, hoe vaak komt dat voor?

Hoe zien IPv6 portnummers eruit?

Erm ja, precies hetzelfde, goed punt.

Ik Googlede trouwens eens op wat de dynamic port range tegenwoordig is die Microsoft hanteert en sinds Windows Vista is die aangepast naar de standaard range van 49152+ (was vroeger 5000+) dus een aantal van die portnummers zijn in ieder geval buiten de dynamic range (wat doet vermoeden dat ze expliciet gebonden worden om een of andere reden, wat vreemd is).

edit:
Het valt me nu ook op dat de TS een IP uit de private range gebruikt, dus zit 'ie vrijwel zeker achter een NAT router. Het zou me niets verbazen als het daar mee samenhangt: de NAT-router heeft te weinig ruimte om van alle connecties bij te houden waar ze heen moeten, waardoor actieve connecties verkeerd geroute worden; of misschien is z'n desktop PC ingesteld als DMZ host waardoor 'ie traffic waarvoor geen entries in de NAT tabel meer zijn geredirect worden. In beide gevallen corresponderen de binnenkomende pakketjes niet met de verbindingen die op die host zelf aangemaakt zijn (poortnummers zijn immers veranderd door de NAT router) dus gaat de firewall klagen.

@TS: het klopt dat de firewall op je desktop-PC draait en niet op de router? En de router zal geen al te professioneel model zijn?

[ Voor 24% gewijzigd door Soultaker op 14-08-2009 16:35 ]

vrijdag 14 augustus 2009 16:31

Acties:

CoolGamer

What is it? Dragons?

Ik heb ook een tijdje Outpost gebruikt en kreeg ook regelmatig van die berichten. Ik heb Attack-detectie toen maar uitgezet. Soms als een verbinding gesloten is en er dan alsnog een pakketje achteraan komt is het een "attack". De controle is veel te gevoelig en ik heb alleen maar false-positives gehad.

[ Voor 7% gewijzigd door CoolGamer op 14-08-2009 16:32 ]

¸.·´¯`·.¸.·´¯`·.¸><(((º>¸.·´¯`·.¸><(((º>¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸<º)))><¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸