Unbekannte IP-Adressen tauchen im Protokoll auf
 

Hallo,

ich habe bei meinem Router mal heute das Protokoll aktiviert, anschließend den PC und den Router neu gestartet.
Ohne dass ich irgend eine Internetseite öffnete, stehen im Protokoll bei Ziel-URL/IP Adresse 5 IP-Adressen drinnen:

81.52.205.XXX
65.55.18X.XX
65.55.18X.XX
69.195.141.XXX
188.121.36.XXX

habe mal die letzten Ziffern unkenntlich gemacht, nicht dass ich dadurch irgend welche Probleme bekomme.

Habe diese mal bei google eingegeben. Das sind IP-Adressen von United Kingdom, USA und Holland.

Was hat das zu bedeuten?

Also ich mache mir jetzt nicht die Mühe herauszubekommen wo die unvollständigen IP-Adresse hingehören. Paranoia :crazy: ohne Sachverstand macht es nicht immer leicht. :pfeiff:
Na gut
81.52.205. gehört zu AKAMAI, also irgendein i.d.R. Software-Update, Microsoft u.v.a., da AKAMAI kommerziell (teuer) ist, wohl irgend ein großer Softwarehersteller (Update)
65.55.18x. Microsoft

69.195.141. Joe's Datacenter, LLC, sagt mir jetzt erst mal wenig/ich kann es gerade nicht einordnen
188.121.36. GO DADDY, ist mir IIRC bisher nur mit unserösen Sachen (Schneeballsystemen) zusammen aufgefallen, heißt aber nichts.

Ich kann auch noch die restlichen Ziffern dazu schreiben.
Nur kenn ich mich auch net so gut aus. Nachher kann man durch die IP-Adressen irgendwelche persönlichen Sachen über mich rausfinden.

Aber warum stellt mein PC wenn ich ihn einschalte über diese Ips eine Verbindung her?

Manche waren auch laut Protokoll https-Seiten.

Tu dies, vorallem zu denen, die NICHT AKAMAI oder Microsoft sind.
Möglich, aber nicht sehr viel. Außerdem kennt man ja dich nicht.
Du gehst zum Arzt und sagt dass du Schmerzen hast aber nicht veraten willst wo?
Auto-Starteinträge, Updates (Windows, Adobe, Java ...), im "Worst-Case" Backdoors

Also die IPs sind:

81.52.205.182
65.55.185.26
65.55.185.26
69.195.141.179
188.121.36.239

Also das letzt hat wohl was mit Nosript zu tun.

Aber was mir mehr zu denken gibt, dass ich heute noch mal in das Router-Protokoll sah und dort standen zwei Adressen bei Eingehenden-Verbindungen. Normal stand dort nie zuvor etwas drinnen.

Die Adressen sind:

173.193.18.186
92.240.68.152

Was bedeutet das?

Ja, die beiden letzten. Nr. 2 (und 3) ist Windows-Update, Nr. 1 AKAMAI, und dies ist u.a. ein "käuflicher" Distributor für (legale) Software und Updates. Wird geren von den großen der Branche "benutzt".

Vermutlich nichts. War es kurz nach dem (vermutlichen) zuweisen der neuen IP-Adresse (nach der Zwangstrennung)?

Eig. nicht. Zwangstrennung hatte ich immer um 17 uhr. Erst um ca. 21 uhr hab ich den Pc überhaupt angemacht. Ich hab nur eine email abgerufen (war spam) danach Browser geöffnet und im Router geschaut. Dann bin ich aus dem Routermenü wieder raus, nach 10 min wieder rein und das Protokoll für eingehende Verbindungen war wieder leer. Ich weiß auch leider nicht wann genau das alles war. Dort stehen keine Uhrzeiten dran. Ich hab dann nach den ip-Adressen gegoogelt und eine davon kommt aus Lettland. Kommt mir schon komisch vor.

Zwangstrennung um 17 Uhr? Ungewöhnlich. Ein Protokoll welches nicht die Uhrzeit vermerkt und wirklich protokolliert ist wertlos.
Kurzzeitig "eingehende Verbindungen" auf deinen Router sind nichts unnormales. Sie haben zwar das Potential was zu bedeuten, aber sie müssen nichts bedeuten und bedeuten in der Regel auch nichts. Es reicht von "normalen Rauschen" des Internets über ungezielte Zugriffsversuche bis zu gezielten Versuchen. Letztere dürften aber ganz überwiegend eine Ausnahme sein. Eine halbwegs anständige Router-"Firewall" / genaugenommen einfaches NAT/PAT mit geschlossenen Ports sollte ausreichen.

Ich mache meinen Router manchmal Nachts aus. Und habe hin eben irgendwann mal wieder um 17 uhr angeschalten. Und daher alle 24 h um 17 uhr die Trennung. Also der Router ist ein Linksys. Und in dem Protokoll stehen eben nur Adresse und die Art der Verbindung. Bei den zwei oben genannten war das "www". Manchmal steht da auch "https" (bei den ausgehenden Verbindungen zumindest). Upnp ist im Router deaktiviert. Ich habe nur für die Xbox 360 ein paar Ports offen. Die aber eig. extra nur die die xbox und deren manuell zugeordneten ip gelten dürften..

Hab mich ein bisse vertan. Da steht nicht Art der Verbindung, sondern "ziel portnummer" und dort eben "www".

Okay + logisch
Möglicherweise verwenden wir beide auch nur eine unterschiedliche Definition von "Protokoll". Ich sähe da in diesem Fall so etwas wie z.B. ein Protokoll (~ Aufzeichnung der Eckdaten) einer Sitzung. Du siehst da u.U. nur die Anzeige der momentanen Ereignisse.
Solange kein unerwünschter Zugriff "durch" den Router erfolgt, dürfte es noch normal sein.
Davon habe ich keine Ahnung, ich wusste auchnicht, dass man für die Xbox irgendwas machen müsste.Ich bin mir nicht sicher so ein Teil überhaupt mal gesehen zu haben :blabla:
(Tendenziell weiß ich aber trotzdem was es ist - glaube ich ;) )

Also was soll ich nun davon halten? Alles "normal"?
Zumindest die Firewalleinstellungen im Router sind aktiviert für:

"Anonyme Internet-Anfragen blockieren"
"Multicast filtern"
"Filter-IDENT"

Nur bei "Internet NAT-Umleitung filtern" ist kein Haken gesetzt. Aber habe dazu ein bibsschen gegoogelt und das sollte ich eig. auch nicht aktivieren.

Ansonsten kann ich wohl auch nicht mehr machen...

Also wie ist das jetzt mit dem Protokoll für eingehende Verbindungen? Ist das alles harmlos? Heute fand ich wieder 3 ips aus China und den USA.
Ist das nur ein Rauschen? Oder ist das schon durch den Router durchgedrungen wenn die in dem Protokoll stehen?
Die Firewalleinstellung im Router, die ich einen Beitrag weiter oben schrieb, ist doch richtig?

Es ist wohl kein Protokoll, vermutlich nur eine Anzeige ;)
Solange es der Router nicht durchlässt ja
Steht davon was in der Anzeige? Ein Zugriff auf ist noch kein Zugriff durch den Router.
Aber solange du nicht die Anzeige-Meldung komplett hier reinschreibst, ist es mehr als wilde Spekulation.
i.d.R. ist dies normales Rauschen, es ist aber nicht unbedingt harmlos (können Würmer sein o.ä.), es ist nur hinter einem normal funktionierenden Router mit geschlossenen Ports keine akute Gefährdung.
Keine Ahnung, ich kenne den unbekannten Router nicht. Es gibt Router die mehr (viele) Optionen haben, die auch eine Lücke sein können.
I.d.R. sind die Werksoptionen ausreichend, Spielemodi sollten nicht aktiviert sein, Fernwartung ebensowenig, genausowenig irgendein Port-Forwarding, außer es wird explizit gebraucht. Aber auch wenn es gebraucht wird, ist es "natürlich" eine gezielte Lücke.

Was heißt hier Anzeigemeldung? Ich glaub wir verstehen uns nicht ganz.
Also ich greife auf die Benutzeroberfläch von meinem Linksys Router zu. Dort gibt es einen Menüpunkt der nennt sich Protokoll. Dort klicke ich drauf und dann kann ich eingehendes und ausgehendes Protokoll auswählen. Gehe ich auf eingehende Protokolle sieht man eine Tabelle mit zwei Spalten: "IP-Adresse der Quelle" und dazu "Ziel-Port-Nummer". Bei mir z.B. "118.119.102.43" und die Ziel-Port-Nummer lautet dazu "www".
So, mehr steht da nicht.
Und wie ich schon sagte muss ich für die Xbox für eine offene nat das port-forwording für 6 Ports aktivieren. Aber für diese Ports trägt man ja eine ip-Adresse mit ein. Und diese ip-Adresse habe ich manuell in der Xbox stehen. Mein Pc hat zwar dhcp aber die ip dazu ist eine im niedrigeren Bereich. Also dürften doch die offenen Ports nur für die Xbox gelten und nicht für den Pc. Dürfte also kein Problem sein, oder?

Na da verstehen wir drei uns wohl nicht ganz, unter Protokoll verstehe ich mehr als Linksys angibt.
Für mich ist dies nur eine Anzeige des gegenwärtigen Zustand.

Als Ziel-Port-Nummer steht da tatsächlich "www"?
Und bitte bennene endlich deinen Router beim Namen, Linksys ist nur eine Marke, kein genaues Modell. Originale Firmware?


Ja wohl schon. Die offenen Ports gelten für die IP-Adresse, egal wer sich darunter meldet. Wenn nur die xbox diese IP-Adresse jemals bekommt, dann ist die Portweiterleitung immer nur zur xbox.
Wenn du der xbox (als Beispiel) 192.168.2.222 gegeben hast und der DHCP-Bereich des Linksysgeräts von 192.168.2.2 bis 192.168.2.100 geht, dann wird niemals ein DHCP-Gerät die 222er Adresse bekommen, also auch nicht dein PC.

Also das Modell ist wrt54GL. An der Firmware hab ich nichts verändert. Kann sein, dass es eine neuere gibt, aber ich hab keine Ahnung von wo ich eine neue runterladen kann. Auf deren Homepage fand ich nichts.
Und ja, dort steht als Ziel-port nur "www". Und ja, ich gebe dir Recht, für ein Protokoll sollte da noch Datum und Uhrzeit stehen. Tut es aber nicht und Linksys nennt es denn noch Protokoll.
Und dhcp habe ich von 192.168.1.100-.103 vegeben. Die xbox hat die 192.168.1.111, der Pc bekommt meist die .100.

Mit der Firmware wollte ich nur ausschließen, dass du eine freie "Fremd-Firmware" einsetzt, die könnte deutlich anders sein.
So wie du es eingestellt hast, sollte es wohl kein Problem haben.
(acuh wenn ich noch nicht das Handbuch des Routers gewälzt habe)

Das heißt, ich muss eig. keine Sorgen haben und es ist normal?
Gibt es denn eine Möglichkeit zu testen, ob der Router sicher ist?

Nicht wirklich. Und sicher ist nichts. :heilig:
Du magst zwar diverse (automatische) Port-Scans machen, doch dies ist eben nur ein automatischer Prot-Scans. ACHTUNG! Mache NUR Portscans aus ABSOLUT zuverlässigen Quellen! Einige/viele auch seriös aussehende Portsscans sind aber nicht seriös, ein (reiner) Portscan des Routers muss auch NICHTS auf deinem PC installieren, muss kein Java ausführen o.ä.
Die meisten Port-Scanner testen nur die "üblichen" Ports und nicht alle 65536 möglichen Ports.
http://portscan.winboard.org/ OHNE jegliche Garantie

Ich hab mal grc.com getestet und dann Shields up. Hat mit Jemand empfohlen.
Aber keine Ahnung was das Ergebnis aussagt. Da steht nur irgend ein englischer Kaudawelsch.

So und nun hab ich den Link von dir getestet. Anscheinend alles ok. Keine offenen Ports. Ja keine Ahnung....Was hälst du von dem ShieldsUp-Test?

Bist auf die Gag- und Glaubenssache "Stealth" IIRC ganz in Ordnung.

Im übrigen als ich den Test von deinem Link gemacht habe, stand auch die ip-adresse von der Seite im Protokoll bei eingehenden Verbindungen. Was ja aber auch normal sein dürfte. Und bei der grc.com-Seite hab ich wohl den eig. Test gar nicht gemacht. Bin da nur auf das Shields gegangen und dachte der Text der da dann kommt wäre schon die Auswertung. Naja egal. Ich lass die ganze Sache jetzt lieber und schau gar nicht mehr ins Protokoll.