Unbekannte IP-Adressen tauchen im Protokoll auf
 

Hallo,

ich habe bei meinem Router mal heute das Protokoll aktiviert, anschließend den PC und den Router neu gestartet.
Ohne dass ich irgend eine Internetseite öffnete, stehen im Protokoll bei Ziel-URL/IP Adresse 5 IP-Adressen drinnen:

81.52.205.XXX
65.55.18X.XX
65.55.18X.XX
69.195.141.XXX
188.121.36.XXX

habe mal die letzten Ziffern unkenntlich gemacht, nicht dass ich dadurch irgend welche Probleme bekomme.

Habe diese mal bei google eingegeben. Das sind IP-Adressen von United Kingdom, USA und Holland.

Was hat das zu bedeuten?

Also ich mache mir jetzt nicht die Mühe herauszubekommen wo die unvollständigen IP-Adresse hingehören. Paranoia :crazy: ohne Sachverstand macht es nicht immer leicht. :pfeiff:
Na gut
81.52.205. gehört zu AKAMAI, also irgendein i.d.R. Software-Update, Microsoft u.v.a., da AKAMAI kommerziell (teuer) ist, wohl irgend ein großer Softwarehersteller (Update)
65.55.18x. Microsoft

69.195.141. Joe's Datacenter, LLC, sagt mir jetzt erst mal wenig/ich kann es gerade nicht einordnen
188.121.36. GO DADDY, ist mir IIRC bisher nur mit unserösen Sachen (Schneeballsystemen) zusammen aufgefallen, heißt aber nichts.

Ich kann auch noch die restlichen Ziffern dazu schreiben.
Nur kenn ich mich auch net so gut aus. Nachher kann man durch die IP-Adressen irgendwelche persönlichen Sachen über mich rausfinden.

Aber warum stellt mein PC wenn ich ihn einschalte über diese Ips eine Verbindung her?

Manche waren auch laut Protokoll https-Seiten.

Tu dies, vorallem zu denen, die NICHT AKAMAI oder Microsoft sind.
Möglich, aber nicht sehr viel. Außerdem kennt man ja dich nicht.
Du gehst zum Arzt und sagt dass du Schmerzen hast aber nicht veraten willst wo?
Auto-Starteinträge, Updates (Windows, Adobe, Java ...), im "Worst-Case" Backdoors

Also die IPs sind:

81.52.205.182
65.55.185.26
65.55.185.26
69.195.141.179
188.121.36.239

Also das letzt hat wohl was mit Nosript zu tun.

Aber was mir mehr zu denken gibt, dass ich heute noch mal in das Router-Protokoll sah und dort standen zwei Adressen bei Eingehenden-Verbindungen. Normal stand dort nie zuvor etwas drinnen.

Die Adressen sind:

173.193.18.186
92.240.68.152

Was bedeutet das?

Ja, die beiden letzten. Nr. 2 (und 3) ist Windows-Update, Nr. 1 AKAMAI, und dies ist u.a. ein "käuflicher" Distributor für (legale) Software und Updates. Wird geren von den großen der Branche "benutzt".

Vermutlich nichts. War es kurz nach dem (vermutlichen) zuweisen der neuen IP-Adresse (nach der Zwangstrennung)?

Eig. nicht. Zwangstrennung hatte ich immer um 17 uhr. Erst um ca. 21 uhr hab ich den Pc überhaupt angemacht. Ich hab nur eine email abgerufen (war spam) danach Browser geöffnet und im Router geschaut. Dann bin ich aus dem Routermenü wieder raus, nach 10 min wieder rein und das Protokoll für eingehende Verbindungen war wieder leer. Ich weiß auch leider nicht wann genau das alles war. Dort stehen keine Uhrzeiten dran. Ich hab dann nach den ip-Adressen gegoogelt und eine davon kommt aus Lettland. Kommt mir schon komisch vor.

Zwangstrennung um 17 Uhr? Ungewöhnlich. Ein Protokoll welches nicht die Uhrzeit vermerkt und wirklich protokolliert ist wertlos.
Kurzzeitig "eingehende Verbindungen" auf deinen Router sind nichts unnormales. Sie haben zwar das Potential was zu bedeuten, aber sie müssen nichts bedeuten und bedeuten in der Regel auch nichts. Es reicht von "normalen Rauschen" des Internets über ungezielte Zugriffsversuche bis zu gezielten Versuchen. Letztere dürften aber ganz überwiegend eine Ausnahme sein. Eine halbwegs anständige Router-"Firewall" / genaugenommen einfaches NAT/PAT mit geschlossenen Ports sollte ausreichen.

Ich mache meinen Router manchmal Nachts aus. Und habe hin eben irgendwann mal wieder um 17 uhr angeschalten. Und daher alle 24 h um 17 uhr die Trennung. Also der Router ist ein Linksys. Und in dem Protokoll stehen eben nur Adresse und die Art der Verbindung. Bei den zwei oben genannten war das "www". Manchmal steht da auch "https" (bei den ausgehenden Verbindungen zumindest). Upnp ist im Router deaktiviert. Ich habe nur für die Xbox 360 ein paar Ports offen. Die aber eig. extra nur die die xbox und deren manuell zugeordneten ip gelten dürften..

Hab mich ein bisse vertan. Da steht nicht Art der Verbindung, sondern "ziel portnummer" und dort eben "www".

Okay + logisch
Möglicherweise verwenden wir beide auch nur eine unterschiedliche Definition von "Protokoll". Ich sähe da in diesem Fall so etwas wie z.B. ein Protokoll (~ Aufzeichnung der Eckdaten) einer Sitzung. Du siehst da u.U. nur die Anzeige der momentanen Ereignisse.
Solange kein unerwünschter Zugriff "durch" den Router erfolgt, dürfte es noch normal sein.
Davon habe ich keine Ahnung, ich wusste auchnicht, dass man für die Xbox irgendwas machen müsste.Ich bin mir nicht sicher so ein Teil überhaupt mal gesehen zu haben :blabla:
(Tendenziell weiß ich aber trotzdem was es ist - glaube ich ;) )

Also was soll ich nun davon halten? Alles "normal"?
Zumindest die Firewalleinstellungen im Router sind aktiviert für:

"Anonyme Internet-Anfragen blockieren"
"Multicast filtern"
"Filter-IDENT"

Nur bei "Internet NAT-Umleitung filtern" ist kein Haken gesetzt. Aber habe dazu ein bibsschen gegoogelt und das sollte ich eig. auch nicht aktivieren.

Ansonsten kann ich wohl auch nicht mehr machen...

Also wie ist das jetzt mit dem Protokoll für eingehende Verbindungen? Ist das alles harmlos? Heute fand ich wieder 3 ips aus China und den USA.
Ist das nur ein Rauschen? Oder ist das schon durch den Router durchgedrungen wenn die in dem Protokoll stehen?
Die Firewalleinstellung im Router, die ich einen Beitrag weiter oben schrieb, ist doch richtig?

Es ist wohl kein Protokoll, vermutlich nur eine Anzeige ;)
Solange es der Router nicht durchlässt ja
Steht davon was in der Anzeige? Ein Zugriff auf ist noch kein Zugriff durch den Router.
Aber solange du nicht die Anzeige-Meldung komplett hier reinschreibst, ist es mehr als wilde Spekulation.
i.d.R. ist dies normales Rauschen, es ist aber nicht unbedingt harmlos (können Würmer sein o.ä.), es ist nur hinter einem normal funktionierenden Router mit geschlossenen Ports keine akute Gefährdung.
Keine Ahnung, ich kenne den unbekannten Router nicht. Es gibt Router die mehr (viele) Optionen haben, die auch eine Lücke sein können.
I.d.R. sind die Werksoptionen ausreichend, Spielemodi sollten nicht aktiviert sein, Fernwartung ebensowenig, genausowenig irgendein Port-Forwarding, außer es wird explizit gebraucht. Aber auch wenn es gebraucht wird, ist es "natürlich" eine gezielte Lücke.