Toegang netwerk onbekende IP adressen - Netwerken

woensdag 22 januari 2014 19:47

Acties:

Topicstarter

Goedenavond medetweakers.

Vanavond ben ik eens naar het logboek van mijn router gaan kijken naar een aantal keer wat perfomance problemen te hebben gehad.
Wat mij vervolgens opvalt in het log bestand is dat ik zie dat onbekende ip adressen volgens mijn router weten te verbinden met mijn pc.

hieronder een klein voorbeeldje van mijn log:

_{[DoS Attack: RST Scan] from source: 2.107.48.66, port 18291, Wednesday, January 22,2014 18:35:30

[DoS Attack: RST Scan] from source: 75.76.250.105, port 61303, Wednesday, January 22,2014 18:34:51

[DoS Attack: RST Scan] from source: 75.76.250.105, port 61289, Wednesday, January 22,2014 18:34:51

[DoS Attack: RST Scan] from source: 184.152.16.199, port 51420, Wednesday, January 22,2014 18:34:11

[DoS Attack: RST Scan] from source: 85.229.46.81, port 30820, Wednesday, January 22,2014 18:34:03

[DoS Attack: RST Scan] from source: 75.76.250.105, port 60957, Wednesday, January 22,2014 18:33:55

[DoS Attack: RST Scan] from source: 75.76.250.105, port 60939, Wednesday, January 22,2014 18:33:51

[LAN access from remote] from 213.199.179.159:40001 to 192.168.2.3:47659, Wednesday, January 22,2014 18:33:33

[LAN access from remote] from 213.109.117.115:29872 to 192.168.2.3:47659, Wednesday, January 22,2014 18:33:04

[DoS Attack: RST Scan] from source: 75.76.250.105, port 60635, Wednesday, January 22,2014 18:33:00

[DoS Attack: RST Scan] from source: 86.40.115.205, port 14824, Wednesday, January 22,2014 18:32:40

[DoS Attack: RST Scan] from source: 75.76.250.105, port 60471, Wednesday, January 22,2014 18:32:28

[DoS Attack: ACK Scan] from source: 189.31.81.30, port 53411, Wednesday, January 22,2014 18:32:12

[DoS Attack: RST Scan] from source: 85.229.46.81, port 30599, Wednesday, January 22,2014 18:32:09

[DoS Attack: RST Scan] from source: 75.76.250.105, port 60327, Wednesday, January 22,2014 18:32:04

[LAN access from remote] from 217.120.75.228:33474 to 192.168.2.3:47659, Wednesday, January 22,2014 18:31:58}

dit is een kleine log het laatste kwartier.
Mijn vraag is dus als volgende :

Kunnen dit soort verbindingen ook inderdaad kwaad. en wat zou ik eventueel eraan kunnen doen om deze verbindingen te stoppen? ik heb ondertussen voor de zekerheid mn nas al even van mn hosting afgehaald zodat deze niet meer extern benaderbaar is.

woensdag 22 januari 2014 20:00

Acties:

Mijzelf

192.168.2.3 is je nas, neem ik aan? Als ik zo naar dat poortnummer kijk, komt torrent als eerste bij me op. Kan het zijn dat je wat zit te seeden?
Indien niet, kun je met telnet of ssh inloggen op de NAS, en kijken welke daemon op poort 47659 zit?

netstat -ltp

woensdag 22 januari 2014 20:03

Acties:

nickertNL

Topicstarter

dat is mijn laptop. mijn nas zit op ip : 192.168.2.14

[ Voor 171% gewijzigd door nickertNL op 22-01-2014 20:08 ]

woensdag 22 januari 2014 20:04

Acties:

Thapous

Nee toch niet.

De whois geeft aan het IP-adressen zijn van microsoft:

http://whois.domaintools.com/213.199.179.159
http://whois.domaintools.com/213.109.117.115

Kan het natuurlijk nog van alles zijn: updates, skype, etc.

//Thapous

woensdag 22 januari 2014 20:07

Acties:

Fish

How much is the fish

wss zijn deze poorten met upnp opengemaakt van binnenuit. (of je hebt ze zelf geforward)

Doe "netstat -b" op je laptop dan zie je welke aplicatie het het is
en dan moet het om een recente logging gaan niet van 5 minuten oud oid

[ Voor 18% gewijzigd door Fish op 22-01-2014 20:08 ]

Iperf

woensdag 22 januari 2014 20:08

Acties:

Sendy

Als je dan op je laptop kijkt welk programma port 47659 gebruikt weet je toch alles?

woensdag 22 januari 2014 20:11

Acties:

nickertNL

Topicstarter

De applicatie was in dit geval dus teamviewer. de ip adressen hebben dus inderdaad gewoon te maken met de UpNp instellingen van de router. echter aangezien ik de ip adressen aan het achterhalen was via ip-tracker en niet gedacht had aan het netstat commando zat ik dus door al die scans er eerder aan te denken hackers het netwerk aan het scannen was.

topic mag dicht en bedankt voor de hulp jongens!