Darksun777 10 Geschrieben 11. März 2005 Melden Teilen Geschrieben 11. März 2005 Hallo Forum, es ist wohl etwas OffTopic, aber ich frage trotzdem mal hier.. und hoffe jemand kann mich aufklären. Situation: Internet --> IPCop 1.4.2 --> W2k3-Terminalserver mit L2TP/IPSec VPN Seit heute Nacht läuft das IntrusionDetectionProtokoll von IPCop im sekundenabstand (!) voll mit folgenden Einträgen: Date: 03/11 00:00:42 Name: ICMP Destination Unreachable Communication Administratively Prohibited Priority: 3 Type: Misc activity IP Info: 80.132.55.71 -> 192.168.30.3 SID: 485 Refs: Die SourceIP (angreifer) ist eine Dialin-Adresse der T-COM (vermutlich DSL Anschluss) Man beachte, der Zugriffsversuch geht direkt auf die interne Adresse des Terminalservers, NICHT auf die externe IPCop-Adresse! Und das obwohl der Terminalserver (noch) niemandem bekannt ist. Ich kann mit dem Logeintrag allerdings nicht viel anfangen, vielleicht kann mir jemand von euch sagen was da passiert ? Please Help... Grüße Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 11. März 2005 Melden Teilen Geschrieben 11. März 2005 Ein Angriff über ICMP? 'Destination Unreachable' ist klar, aber wie kann jemand von außen einen Ping auf eine interne IP absetzen? Das führt doch zu nichts, es sei denn auf dem Router läuft NAT in beide Richtungen!? Zitieren Link zu diesem Kommentar
Darksun777 10 Geschrieben 11. März 2005 Autor Melden Teilen Geschrieben 11. März 2005 Keine Ahnung was da los ist ! Der IPCop macht NAT natürlich nur von innen nach aussen .. Ausser den Portweiterleitungen für VPN (IPSEC) wird von aussen alles gedropt... Deswegen wundert mich das ja so ! Es ist seit ueber 14 Stunden diesselbe IP die das im Sekundentakt macht ... Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 11. März 2005 Melden Teilen Geschrieben 11. März 2005 Bist du sicher, das es ein Angriff ist? Ich würde erstmal auf einen (neuen) Konfigurationsfehler tippen. Denn unabhängig davon wüsste ich spontan nicht, was diese Art von Angriff bringen sollte - wenn es überhaupt ein Angriff ist. Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 11. März 2005 Melden Teilen Geschrieben 11. März 2005 Hi ! Dieser "Angriff" kann garnicht von außen kommen. Kein Router im I-Net routet was für ein 192.168.x.x-Subnetz ! Ich tippe eher, Du hast in Deinem internen Netz einen Client stehen mit einer offenen DFÜ-Verbindung oder mit einer NW-Karte, die als zusätzliche IP diese 80.132.55.71 konfiguriert hat. Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 12. März 2005 Melden Teilen Geschrieben 12. März 2005 Dieser "Angriff" kann garnicht von außen kommen. Kein Router im I-Net routet was für ein 192.168.x.x-Subnetz ! Das würde mich auch wundern. Ich tippe eher, Du hast in Deinem internen Netz einen Client stehen mit einer offenen DFÜ-Verbindung oder mit einer NW-Karte, die als zusätzliche IP diese 80.132.55.71 konfiguriert hat. Wobei die Frage ist, warum im sekundenabstand(!) ICMP Pakete gesendet werden? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.