DOS [TCP]: Attack Outgoing 192.168.0.101->0.0.0.0 [FIN Scan

Hi, ik krijg sinds enkele weken nogal eigenaardige rapporten van mijn hardware FireWall (DLink DIR-100)

May 3 10:47:19 | DOS [TCP]: Attack Outgoing 192.168.0.101->0.0.0.0 [FIN Scan]
May 3 10:47:09 | DOS [TCP]: Attack Outgoing 192.168.0.101->0.0.0.0 [FIN Scan]
May 3 10:47:00 | DOS [TCP]: Attack Outgoing 192.168.0.101->0.0.0.0 [FIN Scan]
May 3 10:45:10 | DOS [TCP]: Attack Outgoing 192.168.0.101->0.0.0.0 [FIN Scan]
May 3 10:41:49 | DOS [TCP]: Attack Outgoing 192.168.0.101->0.0.0.0 [FIN Scan]
May 3 10:36:14 | DOS [TCP]: Attack Outgoing 192.168.0.101->0.0.0.0 [FIN Scan]
...

En hier en daar staat er dan ook een tussen waar de source niet mijn eigen pc is maar, mijn ISP of Google, Comodo, of soms een hosting firma die ik niet ken.

May 3 10:06:06 | DOS [TCP]: Attack Incoming xxx.xxx.xxx.xxx->0.0.0.0 [FIN Scan]
May 3 10:05:33 | DOS [TCP]: Attack Incoming xxx.xxx.xxx.xxx->0.0.0.0 [ACK Scan]
May 3 10:05:00 | DOS [TCP]: Attack Incoming xxx.xxx.xxx.xxx->0.0.0.0 [FIN Scan]
...

nu het is normaal dat ik van mijn router/firewall rapporten krijg, maar nu is het bijna elk uur
En het is vooral dat adres 0.0.0.0 waar ik me zorgen over maak.

Het is ook verdacht dat telkens wanneer ik een tijdje van mijn pc weg ben, deze 'attacks' heel intensief worden. (pc staat 24/7 op)

Ik heb mijn pc gescand, malware, virusscanner (AVG, Sophos rootkit, Kaspersky online), virusscanner en rootkit scanner op live cd. (alles clean)
Ik heb programma's als Proces Explorer, NetStat en Wireshark gebruikt om proberen te achterhalen welke processen/services dit veroorzaken.
Mijn firewall ertussen uitgehaald, en dan nog eens het verkeer monitoren met Wireshark enz
Maar dan kan ik niets vinden van of naar 0.0.0.0


Kan iemand mij helpen/uitleggen wat dit allemaal wil zeggen aub ?

OS: Win7
Router: DLink Dir-100
Comodo firewall & AVG anti virus


thanx !!

bedankt voor de info !

scannen op type paketten levert idd meer info op, ik zie alleen nog geen patroon of verband met dat 0.0.0.0 adres.

Ik wou dit toch nog even meegeven voor mensen die misschien hetzelfde 'probleem' hebben met de DIR-100

Na enig heen en weer ge-mail naar de klantendienst van D-Link is men daar uiteindelijk tot de volgende conclusie gekomen:

"The firewall in many of our products is pattern based. Not everything that accesses it´s public ip is an actual attack. Some type of traffic can be wrongfully identified as an attack, this is normal behaviour and is not dangerous. The fact that it even writes anything about that in the log is because it has blocked it so the user is safe. In some cases 0.0.0.0 can mean all adresses. I would say anyway that there is nothing for you to worry about in this case"

Ik zeg uiteindelijk, want het heeft wel even geduurd eer ze tot deze conclusie kwamen, eerst had ik zeker een virus.(klopte niet) Toen gebruikte ik waarschijnljik p2p of bittorrent apps, (gebruik ik niet) Heb daarna een test gedaan met een cleane pc met alle nodige virus/malware/software firewall toestanden erop.
En het gebeurde nog.

Mijn conclusie is dat die firewall in de DIR-100 gewoon te veel 'false positives' geeft, als je hierover kan spreken in de context van een firewall. En die 0.0.0.0 adressen gewoon niet kan resolven. Ok hij bericht er over en blokkeert ze, dus dat is 'positief' maar als je er verder geen informatie kan uithalen heeft zo'n firewall rapport weinig zin imo. Ook in Comodo, Wireshark, kwamen die 0.0.0.0 adressen nooit voor. Het probleem deed zich dus enkel voor in de D-Link. Ook na het plaatsen van de pc in de DMZ en mijn software firewall het verkeer te laten analyseren.

Ik hoef me dus geen zorgen te maken ,maar echt zinvol vind ik deze ingebouwde firewall toch ook niet. Ik ga maar eens op zoek naar een dedicated hardware firewall.
Enige suggesties iemand ?