hallo,
Nachdem ich mittlerweile (durch euch) weiss mich zu schützen
hab ich nun ein (?) Problem:

(Notebook, DSL-2000, WinXP uptodate, Router(WLAN mit WPA,MAC))

ich spiele seit 2,3 Wochen ein Spiel online (C&C).
Desöfteren bekomme ich nun diese Meldung "Alert Message!!!" von meinem Router
(man kann im Router die eigene email eintragen und das Gerät sendet im Falle eines "Angriffs" eine Warnung an diese Adresse)

Zitat:

Guten Tag
Ihr Router hat einen Versuch des Eindringens in Ihr Netzwerk festgestellt und abgewehrt. Es könnte ein Hacker-Angriff gewesen sein, aber auch nur die harmlose Wartungsarbeit Ihres Service Providers.
Über die meisten dieser Netzwerktests muss man sich keine Gedanken machen. Es handelt sich um Versuche, die nach dem Zufallsprinzip durchgeführt werden und NICHT gemeldet werden sollten. Heben Sie diese eMail auf und vergleichen Sie sie mit zukünftigen Alarmmeldungen
Alarmmeldung Ihres Routers

Uhrzeit: 04/28/2006, 21:52:19
>: Smurf
Von: 192.168.2.100
Zum:71.80.8.255, Type:8, Code:0 (von WLAN - Eingang)


Besuchen Sie die UNX Combat Spam Website, um mehr über den Eindringling zu erfahren: http://combat.uxn.com/
1. Geben Sie in der WHOIS-Suchmaschine die IP Adresse des Eindringlings ein
2. Klicken Sie auf den Query-(Untersuchen-) Button
3. Detaillierte Informationen über das Netz und die Administration werden angezeigt

Leider kann ich damit nichts anfangen.
Die Internetseite sagt mir garnichts und ich versteh sie nicht.
Gerade eben bekam ich wieder 3 Meldungen.

Immer im (fast) min-takt.
Letztens sogar 1 Stunde lang (etwa) jede min 1 mal.

Kennt das jemand?
Ist das was ernstes?

@cotton

Zitat:

(man kann im Router die eigene email eintragen und das Gerät sendet im Falle eines "Angriffs" eine Warnung an diese Adresse)

Dann schalte es doch ab: Das ist das IMHO das Geliche, was eine DFW über einen Portscan erzählt.

Diese Meldung bedeutet meist nicht viel (siehe Rene-gad), was mich nur iritiert, ist die Art (Inhalt) der Meldung.
Kommt sie wirklich von deinem Router? Sieht mir eher wie echter, normaler SPAM aus.
Oder hat dein Mail-Konto oder dein Router irgendwas mit denen zu tun?
Oder das Spiel?

hallo,
also hat mich jemand "Port-gescannt"
Nun, ich hab ja meinen Router (t-sinus 154 basic 3) und mit "Dingens.org" die Dienste abgeschaltet - kann mir also was passieren, wenn ich weiterhin online spiele und weiter "angegriffen" werde?

hab in Wiki gelesen, dass auch die gesamte Bandbreite genutzt wird - würde passen, da ich ab und zu keine Verbindung mehr zu dem Server hatte und rausflog.

Zitat:

Dann schalte es doch ab

ja Rene-gad, wenn es nur die Meldung ist, dass wiedermal jemand gegen die Mauer gerannt ist - dann ja.

Zitat:

Kommt sie wirklich von deinem Router?

Ja, Shadow - kommt vom Router.
Die I-net-Seite funktioniert zwar nicht (im Moment),
aber ich hab schon oft auf der Seite nachgesehen, was ich dort eingeben soll und mich gefragt, was die mit dem t-sinus und der Telek. zu tun haben.
Ist mir aber ein Rätsel, die Seite.

Zitat:

Oder hat dein Mail-Konto oder dein Router irgendwas mit denen zu tun?
Oder das Spiel?

Nein, Spiel kann ich 100% ausschliessen, da die Meldungen schon vor einem Jahr kamen, und da hatte ich noch kein (dieses) Onlinespiel.
Mailkonto - naja, wenn T-online was damit zu tun hat
Hab Mail-Konten bei Arcor und T-online - sonst keine. Und Arcor schliesse ich aus.

Kann es aber sein, dass es vieleich nur Zufall ist, dass es immer beim Onlinespielen vorkommt?
Denn - ich hab um mich herum einge andere WLAN, und in der Mail steht ja auch was von "WLAN-Engang"
Hab auch schon von diesen Tools gelesen, die den Traffic brauchen, um eine WLAN-Verschlüsselung zu knacken - kann es das sein, dass einer da den Traffic nutzt, den ich mit dem Onlinespiel verursache, um meine Verschlüsselung zu knacken?

Wer steht denn als Absender im Mail-Header?
Laut Handbuch solltest du dort (d)eine Mailadresse eingeben und den Mailserver inkl. komplette Mailnutzerdaten. Ist dies sinnvoll, so muss dir von diesem Konto an dich (selber) ein Mail gesendet werden. Wobei die komplette Angabe aller Daten eigentlich seltsam ist, schließlich wird der Router selten Mails abholen ....
(und bei/innerhalb T-OL müsstest du gar nichts angeben)

Es ist möglich dass ein Nachbar(!) versucht deine WLAN-Daten (Traffic) zu analysieren, aber woher sollte er wissen wann du gerade spielst (oder kann dies ein Nachbar wissen?)
Mit WPA (du benutzt doch WPA, solltest du eigentlich recht sicher sein.
Wenn du immer zu den üblichen Jetzt-Nutzen-Alle-das-Internet-Zeiten spielst, ist natürlich die Chance groß, dass irgendjemand anderes deiner Nachbar-WLANs auch unbeabsichtigt mit deinem WLAN kollidiert.
Aber die Meldung könnte auch einfach missverständlich sein. 192.168.2.100 ist der PC mit WLAN oder hast du die Router-IP-Adresse phantasievoll um zwei Nullen ergänzt?

Wenn die I-Net-Seite wieder funktioniert, sags mir, ich schau sie mir mal gerne an.
Es könnte sein dass http://combat.uxn.com/ nur eine Freundlichkeit der Routerprogrammierer ist und dir eine IP-Adress-WHOIS-Suche so leicht wie möglich zu machen

Welche Firmware hat dein Router? 1.18 wäre aktuell.

Absender bin ich, also so wie du sagtest.
Und ja - die Daten zum Mail abrufen ist eigentlich unsinn

Nachbarn wissen bestimmt nichts vom Onlinespielen, da ich die garnicht kenne.(die mich auch nich)

WPA - ja. und richtig "wirre" Kombination

Zur IP-Adresse - hab ich alles so gelassen wie es war. Also keine äderungen vorgenommen, da ich mich in der Sache nicht auskenne.

Firmware ist 1.18, also aktuell.

... Stimmt, vieleicht die Routerprogr.
wenn die Seite funktioniert sag ich bescheid.

und - nützt Dir das Logbuch vieleicht was?

Zitat:

Logbuch Sicherheit

Es werden alle Versuche eines Zugangs zu Ihrem Netzwerk gezeigt.

29.04.2006 15:28:41 192.168.2.100 Anmeldung erfolgreich.
29.04.2006 15:22:54 192.168.2.100 Anmeldung erfolgreich.
29.04.2006 15:22:54 192.168.2.100 Anmeldung erfolgreich.
29.04.2006 15:22:08 192.168.2.100 Abmeldung.
29.04.2006 15:21:02 192.168.2.100 Anmeldung erfolgreich.
29.04.2006 15:16:28 SMTP> Senden der Alarmmeldung war erfolgreich.
29.04.2006 15:16:27 **Smurf** 192.168.2.100->> 84.60.130.255, Type:8, Code:0 (von WLAN - Eingang)
29.04.2006 14:58:53 NTP Datum und Uhrzeit wurden aktualisiert.
29.04.2006 12:59:47 NTP Datum und Uhrzeit wurden aktualisiert.
01.08.2003 00:02:11 If(PPPoE1) PPP Verbindung hergestellt !
01.08.2003 00:02:10 PPPoE1 empfängt IP:84.179.214.231
01.08.2003 00:02:10 Benutzername und Passwort: OK
01.08.2003 00:02:09 PPPoE1 startet PPP
01.08.2003 00:02:09 PPPoE empfange PADS
01.08.2003 00:02:09 PPPoE sende PADR
01.08.2003 00:02:09 PPPoE empfange PADO
01.08.2003 00:02:09 PPPoE sende PADI
01.08.2003 00:02:09 Einwahl(PPPoE1)
01.08.2003 00:01:04 sende ACK an 192.168.2.100
01.08.2003 00:01:03 sende OFFER an 192.168.2.100
01.08.2003 00:00:10 ADSL Medium verbunden !

Zitat:

Zitat von cotton

Absender bin ich, also so wie du sagtest.

Ja? http://de.wikipedia.org/wiki/Smurf-Attacke

Äh...
Der Router erkennt eine "Smurf"-Attacke und sendet eine Mail mit (logischerweise da so eingestellt) eine Mail "von und an" die Baumwolle.

Smurf Attacke ist eine IP-Attacke und keine Mail-Attacke
Bin da absolut kein Experte!
eigentlich habe ich keinerlei Erfahrung mit Smurfen, weiß aber wie es theoretisch geht - *glaub ich*



@ Cotton: DHCP aktiv? Dein PC hat die 192.168.2.100 als IP-Adresse?
(cmd => ipconfig)
Dein PC macht nicht zufällig selber die Smurf-Attacke?
->> 84.60.130.255
Zum:71.80.8.255
255 ist üblicherweise der Broadcast in einem Netz

Zitat:

Smurf Attacke ist eine IP-Attacke und keine Mail-Attacke

Ja. Ich hatte Wolleknäuel nur falsch verstanden als er schrieb, er sei der Absender. Intern hatte ich "Absender" als "Source IP" verarbeitet
Deswegen wollte ich fragen, ob er sich sicher sei, der Absender des ICMP Requests zu sein.

Mea culpa...

cmd - ipconfig - ist meine.

das DHCP - Wiki sagt Dynamic Host Configuration Protocol, aber das versteh ich nicht.
Ist wohl eine Einstellung bei (in) Windows(?), kenn ich aber nicht.
"Durch DHCP ist die Einbindung eines neuen Computers in ein bestehendes Netzwerk ohne weitere Konfiguration möglich."
Hab an sowas nichts gedreht. Muss also noch auf automatisch sein.

Zitat:

Dein PC macht nicht zufällig selber die Smurf-Attacke?
->> 84.60.130.255
Zum:71.80.8.255
255 ist üblicherweise der Broadcast in einem Netz

Da hilf mir wohl auch kein googlen ums zu verstehen
Ich weiss es also nicht.
Wie stell ich das fest?

zu DHCP:
In einem TCP/IP-Netz braucht jeder ansprechbare(!) Teilnehmer eine eindeutige und einmalige Adresse.
Die kann man selber (i.Allg. der Netzwerkadministrator) vergeben, sie darf niemals doppelt vergeben werden. Um es einfacher zu machen, kann ein zentraler "Punkt" im logischen Netzwerk die Adressen vergeben: der DHCP-Server.
Quasi jeder DSL-Router hat heute die Fähigkleit ein DHCP-Server zu sein, standard ist bei SoHo-Geräten immer "An". Dein DHCP-Server (erreichbar unter 192.168.2.1) hat deinem PC die Adresse 192.168.2.100 vergeben (da vermutlich die 100 die erste Adresse ist, die er vergibt).
Dies ist soweit schon okay und hat mit "Smurf" nichts zu tun.

Wie bekommst du raus, ob du der Smurfer bist?
Spybot S&D, eScan, Hijackthis, Online-AV-Scans - wissen tu ich's nicht.
Ideal wäre, wenn du von der technischen Hotline des Herstellers (hier leider die DTAG - obwohl natürlich nicht der "echte" Hersteller) das Log bzw. diesen Eintrag erklärt bekämest. Dürfte aber erst Dienstag wieder gehen.
Ist C&C = Command & Conquer?
Was muss zum Online-Spielen gemacht werden? Kannst mir auch einen Link geben, ob ich es vor Montag durcharbeiten kann weiß ich aber nicht.
Ist es IMMER und/oder NUR wenn du C&C online spielst? Bitte nocheinmal nachdenken bzw. nachprüfen.

Zitat:

Zitat von Shadow

Wie bekommst du raus, ob du der Smurfer bist?
Spybot S&D, eScan, Hijackthis, Online-AV-Scans - wissen tu ich's nicht.

Feste IP vergeben und dann mal schauen was im Log auftaucht. Versuch es mal mit 192.168.2.78.
Wenn die IP dann in der nächsten Mail auftaucht weisst Du dass da was nicht stimmen kann.
Ich glaube aber eher, dass eines der umliegenden WLAN-Netze Ärger macht.

Edit:

Von welchem C&C ist hier die Rede?

Ja, wäre auch eine Möglichkeit.

@ cotton über cmd => ipconfig /ALL mal alle Werte ausgeben lassen und manuell in die Einstellungen Internetprotokoll (TCP/IP) dieser Netzwerkkarte (WLAN) eintragen.
Statt 192.168.2.100 halt 192.168.2.78. Wenn es nicht funktioniert hast du einen Fehler gemacht
Ärgern und das Hakerl bei "IP-Adresse automatisch beziehen" wieder reinsetzen.
Machst du idealerweise, wenn zur Not ein zweiter PC bzw. Internetzugang vorhanden ist und wenn du ausgeschlafen bist. In der Walpurgisnacht könnte es gefährlich sein.

Zitat:

zu DHCP: ...

ok, verstanden.

Zitat:

Ideal wäre, wenn du von der technischen Hotline des Herstellers ...

Hab da gute & schlechte Erfahrungen gemacht:
zum Einen - gut, weil mittlerweile immer nett und hilfsbereit (müssen ja Kunden halten )
zum Anderen - schlecht, weil die nicht viel wissen (können). Und einen echten "Techniker" ans Telefon zu bekommen ist dort wohl nicht leicht.

C&C ist Command & Conquer, ja.

Zum Spielen muss man nur das Spiel installieren (ist ein älteres, aber up-ge-datet),
sich Registrieren (ohne persönlichen Daten),
starten und "internet" wählen,
einloggen und in der Lobby warten, bis man ein interessantes Spiel (was immer einer anbieten muss) findet.
(anbieten - also festlegen, welche Landkarte benutzt wird usw)

Zitat:

Kannst mir auch einen Link geben

Link geht schlecht, da man ja das Spiel braucht.

Und ja, es gab diese Mails immer nur dann, wenn ich online gespielt habe.
jetzt zB bin ich die ganze Zeit online, und meine Nachbarn sind wohl auch unterwegs (zumindest deren Router sind an), aber es kommt keine Mail.

PS: hab im Router gesehen, dass die FW Pings aus dem WAN abweist ("Abweisen von Ping aus dem WAN" -> an)
ist es vieleicht das?
In dieser Lobby sieht man die Namen der anderen Spieler und die Verbindungsquallität zu denen -> wird das nicht mittels Pingen ermittelt?
Kam mir nur so in den Kopf, als ich die Option gesehen hab.

*edit*
es geht um C&C Tiberian Sun von (glaub ich) 1999
... das mit der IP versuch ich dann mal morgen oder übermorgen ...
*

hallo,
mit der IP hab ich mich noch nicht rangetraut,
aber ich hab schon wieder eine (4) Meldung bekommen.
Dieses mal mit einer anderen IP:

Zitat:

Uhrzeit: 05/02/2006, 02:24:11
>: Smurf
Von: 192.168.2.100
Zum:69.111.19.0, Type:8, Code:0 (von WLAN - Eingang)

Aber warum ändert sich "Zum" und nicht "Vom"?
Und kann es sein, das es (siehe letzen Post - "PS:") an dem Pingen liegt?