Ständig DoS protection Einträge im Logfile der Firewall

Anmeldungsdatum: 01.03.2006 Beiträge: 2

Hallo Zusammen,

ich habe seit einiger Zeit ständig DoS protection Einträge im Logfile der Firewall. Der Eintrag gibt aber nicht viel her, Quell- und Zieladresse ist 0.0.0.0 und auch die Quell- und Ziel-Ports sind 0!!! Das Protokoli ist TCP. Screenshot habe ich angefügt.

Kann man da irgendwie rausfinden was los sein könnte. Ich habe übrigens in einem anderem Standort eine fast identische Konfiguration des Routers vorliegen, dort gibt es diese Einträge im Logfile nicht.

Gruß

Matu

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4571 Wohnort: Aachen

Hi Matu,

so etwas kann eigentlich nur aus dem LAN kommen - außer du hängst über eine IPoE-Strecke z.B. an einem Kabelmodem, dann könnte es auch daher kommen. Wenn soetwas über eine PPP-Verbindung käme, dann wäre das ein Grund deinen Provider zusammenzusch...... (gloable Broadcasts dürfen nicht geroutet werden - die 0.0.0.0 als Zieladresse ist wie 255.255.255.255 ein globaler Broadcast).

Letztendlich aber hat das LANCOM derartige Pakete empfangen und informiert dich darüber... Die Frage ist nun, wer sotwas versendet. Laß dir mal eine Mail schicken, um zu sehen, über welches Interface das Paket empfangen wurde. Wenn es tatsächlich aus dem LAN kam, dann hilft wohl nur, alle deine Rechner mit verschiedenen Virenscannern zu untersuchen...

Gruß
Backslash

Anmeldungsdatum: 01.03.2006 Beiträge: 2

Danke für den Hinweis Backslash. Habe die Mailbenachrichtigung eingeschaltet.

Der Broadcast kommt definitiv nicht über WAN, da ich in der Zwischenzeit mal den WAN-Port abgestöpselt habe und die Meldungen immer noch auftauchten.

Merkwürdig ist nur, dass "Network Probe" (zeigt den Traffic im Netz an) mir anzeigt, dass der Router selber die Broadcast sendet!?! Wenn ich den Router ausschalte ist deutlich weniger Broadcast im Netzwerk! Kann es sein, dass der Router die Broadcast aus dem LAN wieder ins LAN weiterleitet?

Noch eine kleine Anregung. Wie wäre es, wenn man am Lancom einen Port als Monitor-Port konfigurieren könnte, d.h. wahlweise einen oder alle Ports (auch den WAN-Port) auf den Monitor-Port spiegelt, inkl. aller verworfenen/defekten Pakete. Für Diagnosezwecke wäre das eine unschätzbare Hilfe!

Matu

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4500 Wohnort: Aachen

Moin,

Zitat:

Noch eine kleine Anregung. Wie wäre es, wenn man am Lancom einen Port als Monitor-Port konfigurieren könnte, d.h. wahlweise einen oder alle Ports (auch den WAN-Port) auf den Monitor-Port spiegelt, inkl. aller verworfenen/defekten Pakete. Für Diagnosezwecke wäre das eine unschätzbare Hilfe!

Geht doch - zumindest bei den LANCOMs mit Switch (nicht
821/1621)...

Gruß Alfred

Anmeldungsdatum: 12.01.2005 Beiträge: 84 Wohnort: Bonn

Zitat:

Zitat:

Noch eine kleine Anregung. Wie wäre es, wenn man am Lancom einen Port als Monitor-Port konfigurieren könnte, d.h. wahlweise einen oder alle Ports (auch den WAN-Port) auf den Monitor-Port spiegelt, inkl. aller verworfenen/defekten Pakete. Für Diagnosezwecke wäre das eine unschätzbare Hilfe!

Geht doch - zumindest bei den LANCOMs mit Switch (nicht
821/1621)...

Und wie wenn ich unwissend fragen darf?

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4500 Wohnort: Aachen

Moin,

Zitat:

Und wie wenn ich unwissend fragen darf?

Indem man in der Tabelle mit den Ethernet-Port-Einstellungen
(Setup/Interfaces/Ethernet-Ports) die Funktion des gewünschten
Ports auf Monitor stellt (statt LAN, DSL-n, oder ganz aus).

Wo die Tabelle im LANconfig steht, weiß ich nicht auswendig...

Gruß Alfred

Anmeldungsdatum: 12.01.2005 Beiträge: 84 Wohnort: Bonn

Prächtig, Danke!