IDS-Meldung v. privatem Klasse-C-Netz auf INTERNET-Interface

[rrr]

Ich erhalte 1-2 mal am Tag eine IDS-Warnung von einem privaten Klasse-C-Netz auf dem INTERNET-Interface (ADSL) (Lancom 1722).
Der private Adressbereich ist immer im Bereich "192.168.151.xx", der Quell-Port stets 8080 und der Zielport immer im 5xxxx Bereich. Die Quell-IPs kommen im internen Netz auch nicht vor.

Eigentlich dürfte die Telekom doch keine privaten IPs im Netz zulassen. Oder kann ich da was falsch konfiguriert haben?

Das Problem scheinen auch welche mit anderem Router zu haben: http://forum.ipfire.org/index.php?topic=8783.0


Anbei mal die gestrige Meldung:

Code: Alles auswählen

Date: 8/5/2014 17:46:07

The packet below

Src: 192.168.151.31:8080  Dst: <IP-LANCOM>:55937 {<DNS-LANCOM>} (TCP)

IP-Packet (40 Bytes):

   45 00 00 28 76 f2 40 00  35 06 2d 16 c0 a8 97 1f | E..(v.@. 5.-.....
   50 98 f9 67 1f 90 da 81  8d da 62 84 93 e9 b5 0e | P..g.... ..b.....
   50 11 00 2e da 74 00 00                          | P....t..         

matched this filter rule: intruder detection
filter info:              packet received from invalid interface INTERNET

because of this the actions below were performed:
   reject
   send SNMP trap
   send email to administrator
   block source address for 15 minutes

[Dr.Einstein]

Hallo rrr,

die Telekom blockt alle privaten / falschen Netze aus anderen AS. Innerhalb der eigenen AS finden keine weitere Prüfung statt, außer am Anschluss selbst abgehend, sodass Spoofing nicht möglich ist. Somit handelt es sich hier um einen internen Dienst, der vermutlich vom BBRAR kommt. Was genau da allerdings für ein Dienst ist, kann ich dir momentan nicht sagen. Könnte sich auch um eine Fehlkonfiguration von einem Netzelement handeln.

Angst brauchst du erstmal keine haben, da die IDS das Zeugs ja abfängt.

Gruß Dr.Einstein