Kurze Frage zu Netstat log/eigenartige adressen
 

hallo, hoffentlich hab ich das richtige forum dafür erwicht :D
es handelt sich hierbei vermutlich um kein problem, sondern möchte ich nur aus reiner interesse nachfragen, was es mit den unten genannten adressen auf sich hat.

ich habe in letzter zeit wenn ich netstat(-a) nutze eine par "verbindungen" mit denen ich garnix anfangen kann, vlt kann mir jmd was dazu erzählen ^^
btw, mit " netstat -b" sollte ich doch u.a. ftp verbindungen sehen - also zb. imo die verbindung zu dieser seite, darunter wird mir nämlich garnichts angezeigt ^^ (haut mich wenn ich mich irre :D ist alles schon etwas länger her)


was hat es damit auf sich? google hat dazu nix gefunden. vlt hab ich aber nur falsch gesucht :D
btw, könnte es vlt ein av programm sein welches ports überwacht? - wenn ja wieso dann nur diese und nicht gängige ports wie :80 ?

=> 0.0.0.0 - Wikipedia, the free encyclopedia

Eine Möglichkeit um anzugeben, dass eine beliebige IPv4-Adresse möglich ist. (unbestimmte Adresse)
Dasselbe mit [::] nur dass es sich da auf IPv6 bezieht.
[::1] ist das IPv6-Pendant zu 127.0.0.1 (localhost von IPv4) => IPv6

danke für die antwort, allerdings versteh ich nicht so ganz wieso dies der fall ist.
kommt das von ipchanger o.ä. wodurch die ip dauernd geändert wird?

eigentlich sollte ja nichts über eine unbestimmte ip lauschen oder etwa doch ? oO


ich habe seit längerer zeit probleme mit solchen attacken obwohl ich es so sehr ich es versuche zu beweisen/zu verfolgen ich es einfach nicht schaffe eine ungereihmtheit zu finden.

wäre es evtl möglich das diese ports von jmd anderem genutzt werden?
- klar möglich ist es warscheinlich aber ich meine ob man das iwi nachprüfen kann was dort ganz genau vor sich geht ohne it spezialist zu sein ^^

ps.: an programmen hab ich auf dem pc nur sandboxie , steam und emsisoft. sonst ist atm absolut nichts auf der platte.

Was willst du mit der Ausgabe von netstat eigentlich anfangen wenn dir offensichtlich die Grundlagen fehlen? :dummguck:
Wenn da sowas steht wie

TCP 0.0.0.0:135 PC Name ABHÖREN

Bedeutet das, dass ein Dienst auf Port 135/TCP lauscht. Die 0.0.0.0 steht dafür, dass dieser Dienst "global" für jede IPv4 Adresse zugänglich ist. Stünde da sowas:

TCP 127.0.0.1:135 PC Name ABHÖREN

Wäre der Dienst auf Port 135/TCP nur vom localhosts (also nur deinem Rechner selber!) erreichbar.

Nein. Die Windows-Firewall und ein evtl. vorhandener DSL-Router schotten den Rechner ab.
Es sei denn du hast selbst dran herumgebastelt (alles verstellt) oder Schädlinge installiert die entsprechend versuchen Windows-Firewall zu deaktivieren. Auch Router-Manipulationen sind schon vorgekommen, aber bisher sind mir "nur" DNS-Verbiegungen untergekommen.

ok , nicht aufregen falls ich eben eigenartige fragen stelle :p
eine frage hätte ich jedoch noch , ich hoffe mal das du mir die auch beantworten kannst ,denn aus google bin ich nicht allzu schlau geworden.

nun ich habe eben mit zenmap mal nen scan für den router ausgeführt.
damit wurde dashier angezeigt:

das waren die einzigen offenen ports zu dem zeitpunkt.
hatte kein prog an welches eine inetverbindung verwendet, wäre das alles im grünen bereich?

Kein Problem frag ruhig nur, ich poste meine Gedanken manchmal auch laut :zunge: :D
Du hast deinen Router also deine öffentliche IP scannen lassen?

80/tcp ist idR ein Webserver. Läuft ein Webserver auf einen deiner Rechner und du ein Portforwarding über den Router auf diesem Rechner eingerichtet?
Könnte auch der Webserver vom Router sein. Wie auch immer, wenn beides nicht gewollt ist, solltest du das schleunigst ändern :pfeiff:

SIP ist ein Protokoll das häufig bei Internet-Telefonie verwendet wird (Voice over IP)
Keine Ahnung ob du das unbedingt benötigst, wohl eher nicht.

Könnte der Fernwartungsport (browserbasiert) für den Router sein. Wie gesagt könnte, ich kann jeden Dienst auf einen beliebigen Port setzen wenn ich will und das Gerät das unterstützt

ok danke für die infos :) Daumenhoch


also imo benutz ich eben nmap/zenmap (wireshark war mir etwas zu unübersichtlich :D)
und schaue mir halt die ips an, welche zwichen meinem router und der eigentlich angewählten ip liegen. mit whois versuche ich dann eben herauszufinden wo sich der besagte pc befindet. alles schön und gut, nur ob dieser pc nun ein angreifer ist oder nicht kann ich leider mit meinem jetzigen wissenstand nicht herausfinden.

damit ich nicht ewig weiter frage, wäre es vlt hilfreich eine anleitung zu haben.
am besten wäre wohl eine , die sich mit netwerkverkehr/tracing usw befasst und alles schön anschaulich und nachvollziehbar (für leihen) darstellt.
ihr habt da doch immer so schöne how to´s für alles mögliche in sachen sicherheitstechnik ;)

Was genau hast du jetzt gescannt welches dieses Ergebnis rausbrauchte? DEINE WAN-IP??

hab mit nmap meinen router auf offene tcp ports gescannt.

Dein Router...beantwortet nicht meine Frage http://cheesebuerger.de/images/midi/froehlich/a048.gif
Ich fragte nach WAN-IP und du antwortest Router. Der Router hat aber zwei IP-Adressen, die WAN-IP und die interne IP.

oh :D sorry , also ich hab die interne adresse des routers genommen. also jene, welche von jedem pc in unserm netz als host benutzt wird um ins netz zu gehen. in dem fall eben die 192er adresse. wars das was du meinstest? Headbang

Von intern wird dich wohl kaum jmd deinen Router "angreifen" wollen...
Du müsstest schon den Portscanner auf deine WAN-IP loslassen

http://www.danasoft.com/vipersig.jpg

haha, ok dachte es ist egal welche adresse ich nehme, da der router so oder so die verbindungen eingeht. naja mal wieder was gelernt ;) ty

Ne eben nicht. Wenn der Webserver zur Konfiguration des Routers nur auf der internen Schnittstelle läuft, läuft er nicht auf der WAN-Schnittstelle :pfeiff:

wäre dankbar wenn du dich dem mal kurz annehmen könntest.


habe eben mal mit nmap nen gameserver auf dem ich war gescannt ,da anscheinend jmd auf merkwürdige art und weise zugriff auf mein model bzw die voice commands hatte und diese dann par mal spammte. (hoffe du weißt was ich mein xD )

dabei kam dieses ergebnis(grafisch) dabei raus: hxxp://s7.directupload.net/file/d/2764/x62inljc_jpg.htm

was hat es damit auf sich , dass mein local host eine verbindung zu nem japanischen server aufbaut, mit dem ich absolut nix anfangen kann?

leider hat sich dann kurz darauf mein nmap aufgehangen somit kann ich kein log dazu posten.