Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Vilka försök till inkommande trafik är normala att se i en brandväggslogg?

1
Skriv svar
Permalänk
Medlem

Vilka försök till inkommande trafik är normala att se i en brandväggslogg?

Jag ser i mina brandväggsloggar (i Ubuntu kan tilläggas) att det registreras försök till inkommande trafik, vilka blockeras. Är det normalt att det då och då registreras försök till inkommande trafik, eller tyder det alltid på ett medvetet intrångsförsök? Kan tillägga att jag har slagit upp de IP-adresser som förekommit. En verkar t.ex. tillhöra Google och en kommer från en server som tillhör ett företag som verkar kunna kopplas ihop med min ISP. Vad kan det vara för saker dessa servrar försöker kommunicera inkommande med mig? Är det normalt att sådant dyker upp i en brandväggslogg?

Redigera
Citera flera Citera
Permalänk
Medlem

Det är normalt att det kommer några strö försök ja. särskilt från google och ISP'n.
Du bör oroa dig när försöken börjar bli tresiffriga inom en kort tid.

Visa signatur

CPU: Ryzen 9 3900x Noctua NH-D14 MOBO: TUF Gaming X570-PLUS GPU: GTX 980 RAM: 32 GB 3200 MHz Chassi: R4 PSU: Corsair AX860 Hörlurar: SteelSeries 840 Mus: Logitech G502 Lightspeed V.v. nämn eller citera mig för att få svar.

Redigera
Citera flera Citera
Permalänk
Medlem

Det kan mycket väl komma massor med anrop utan att det är något särskilt på gång. Det finns de som ägnar sig åt att skanna av internet för att hitta sårbarheter. De testar olika användarnamn och lösenord och de måste väl få napp då och då eftersom de fortsätter. Det är därför man ska ha en brandvägg som spärrar allt som inte behövs.

Så länge det bara är försök till anslutning är det lugnt.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hubertus:

Det kan mycket väl komma massor med anrop utan att det är något särskilt på gång. Det finns de som ägnar sig åt att skanna av internet för att hitta sårbarheter. De testar olika användarnamn och lösenord och de måste väl få napp då och då eftersom de fortsätter. Det är därför man ska ha en brandvägg som spärrar allt som inte behövs.

Så länge det bara är försök till anslutning är det lugnt.

Gå till inlägget

Men hur kan de hitta mig (min IP-adress?) genom att testa lösenord på diverse sidor? Och vad menar du med "får napp" och vad har det med mig att göra?

Jag har sett att IP-adresser från Amazon förekommer i loggarna. Vad kan det vara de försöker göra?

Kan dessutom tillägga att jag har en brandvägg i routern. Hur mycket av detta stoppar den? Borde verkligen sådant här komma dram till min dator ens?

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

De skannar väl bara genom en jäkla massa random ip-addresser. Exempelvis kanske de börjar med 5.0.0.0 och fortsätter till 5.255.255.255, liksom går igenom varenda ip-adress där emellan.

Visa signatur

Corsair 750D | i5 4670k | ASUS Z87-a | 8GB Corsair Dominator | Asus GTX770-DC2OC | Samsung 840 EVO 250GB | WD 500GB X2

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Mysterium:

Men hur kan de hitta mig (min IP-adress?) genom att testa lösenord på diverse sidor? Och vad menar du med "får napp" och vad har det med mig att göra?

Jag har sett att IP-adresser från Amazon förekommer i loggarna. Vad kan det vara de försöker göra?

Gå till inlägget

Dom hittar inte dig. De testar olika IP-adresser och en av dem råkar vara din. De letar efter sårbara enheter. Uppenbarligen hittar de en del sårbara enheter eftersom de fortsätter. Det kan t ex vara en dator som tas in i ett bot-nät.

Utsidan på brandväggen är ju hela internet och där förekommer ju allt möjligt. Så länge som allt detta är på utsidan har det inget med dig att göra men om de lyckas ta sig in i ditt system har du problem.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Hubertus:

Dom hittar inte dig. De testar olika IP-adresser och en av dem råkar vara din. De letar efter sårbara enheter. Uppenbarligen hittar de en del sårbara enheter eftersom de fortsätter. Det kan t ex vara en dator som tas in i ett bot-nät.

Utsidan på brandväggen är ju hela internet och där förekommer ju allt möjligt. Så länge som allt detta är på utsidan har det inget med dig att göra men om de lyckas ta sig in i ditt system har du problem.

Gå till inlägget

Om man har en hårdvarubrandvägg i routern då? Om jag ser saker i min datorlogg, betyder det att anslutningsförsöken tagit sig förbi den?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Mysterium:

Om man har en hårdvarubrandvägg i routern då? Om jag ser saker i min datorlogg, betyder det att anslutningsförsöken tagit sig förbi den?

Gå till inlägget

Du kanske ska visa loggarna samt berätta vad du har för portar exponerade (forwardade) så vi slipper gissa vad det är för slags trafik.
Jag scannar "Internet" några gånger om året för en av mina tjänster jag har.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av iXam:

Du kanske ska visa loggarna samt berätta vad du har för portar exponerade (forwardade) så vi slipper gissa vad det är för slags trafik.
Jag scannar "Internet" några gånger om året för en av mina tjänster jag har.

Gå till inlägget

OK, här är några exempel som kommer från Ubuntu. Är inte säker på att jag vet hur jag ser vilka portar som är exponerade, som du skriver. Har du lust att förklara hur?

Apr 5 21:57:08 DATORNAMN kernel: [ 1711.647480] [UFW BLOCK] IN=wlp2s0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX SRC=XXX.XX.XXX.XXX DST=192.168.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=1247 PROTO=TCP SPT=443 DPT=35332 WINDOW=0 RES=0x00 RST URGP=0

Dold text

Den här IP-adressen verkar vara från Google.

Apr 8 16:09:59 DATORNAMN kernel: [ 26.307943] [UFW BLOCK] IN=wlp2s0 OUT= MAC= SRC=XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX DST=XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX LEN=64 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=UDP SPT=8612 DPT=8610 LEN=24

Dold text

Den här kan jag inte tyda, ingen IP-adress som källa?

Apr 8 16:14:22 DATORNAMN kernel: [ 289.842538] [UFW BLOCK] IN=wlp2s0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX SRC=192.168.XXX.XXX DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=45030 DF PROTO=2

Dold text

Destinationen är en adress som börjar med 192.168 så det måste ha med routern att göra?

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Jag skulle vilja förstå lite mer saker kring detta.

Hur många försök till inkommande trafik är egentligen normalt på en dag? Förstår att det beror på vad man gör så klart, men ett vanligt standardbruk (mest surfa)? Kan det vara en hel del men att det börjar bli onormalt om det, som sagt ovan i tråden, blir tusentals typ varje minut?

Jag får massor med inkommande försök från 192.168.1.254. Det är ju routerns IP-adress. Vad kan detta ha för funktion?

Sedan ställer jag min tidigare fråga igen: Om man har en hårdvarubrandvägg i routern då? Om jag ser saker i min datorlogg, betyder det att anslutningsförsöken tagit sig förbi den?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Mysterium:

Jag skulle vilja förstå lite mer saker kring detta.

Gå till inlägget

Du är bara paranoid, nätverk pratar hela tiden i bakgrunden. Om vi tittar på ditt tidigare inlägg om DST=224.0.0.1 så är det en multicast adress som floodar ut det till alla enheter, kanske du har IPTV utan IGMP snooping. Sedan så är typ allt du listat intern trafik i ditt egna lan, hop count/ttl ligger på 1, vilket betyder att den trafiken kommer inte gå allt för många router hopp.

Om någon vill göra intrång måste du ha en öppen tjänst som lyssnar på anslutningar, vilket i sig blir problematiskt på konsument routrar eftersom de kör NAT(PAT) där du måste göra port/tjänst bindningar för inkommande anslutningar. Så det är osannolikt att all denna trafik du ser är intrångs försök, vilket i sig är en bra anledning varför man kör en konsument router ur en säkerhets synpunkt.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara