Hallo Lancomforum,
OFFTOPIC ich bin leider absolut überfordert mit der Technik die die Telekom unserem Familienbetrieb verkauft hat. Wir haben hier einen 1783VAW Lancom Router, der unsere Fritzbox ersetzt hat, weil die Fritzbox angeblich der Grund dafür war dass die neue Telefonanlage (SWXY Anlage, ebenfalls über die Telekom eingerichtet und erworben) sporadische aussetzer hat.
Nun haben wir seit zwei Wochen das Problem, das Anrufer teilweise nicht durchkommen und nach dem ersten Klingelzeichen ein "Besetztzeichen" erhalten. Bei der Telekom jemanden zu finden der die Hardware nicht nur verkaufen sondern auch bedienen kann erweist sich als schwierig.
PROBLEM
Wir bekommen in einem mehr oder weniger regelmäßigen Rhythmus TCP Anfragen, die unsere Firewall wohl als Angriff deutet und verwirft. Ich glaube nicht, dass es ein Angriff ist. Hatte die IPs mal im internet nachgeschaut und das scheint wohl mehr oder weniger Telekom Infrastruktur zu sein und der Google DNS. Was mich ein bisschen kribbelig macht ist die Tatsache, dass
1. die Ports (die ich der VOIP Telefonie zuordne) immer weiter Ansteigen (seit 2 Wochen!)
2. ich aus unserem Netzwerk auch "kerwgjdfvk343tefd.dorfffpppp" anpingen kann und 100% der Pakete ankommen, was wenn ich mich recht entsinne ein Zeichen dafür ist, dass unser Traffic über einen Dritten weitergeleitet/abgefangen wird? Habe die Holzhammer Methode des "Ich start mal den Router neu" ebenfalls schon ausprobiert, was aber leider keine Besserung gebracht hat.
Fragen
Ist das überhaupt ein Angriff?
Soll ich vielleicht einfach ausnahmen für die IPs in der Firewall erstellen?
Findet sich hier vielleicht jemand aus dem Rheinland der gegen Bezahlung die Hilfe übernehmen kann/möchte?
Intruder Detection im 5 Minuten Takt
Moderator: Lancom-Systems Moderatoren
Intruder Detection im 5 Minuten Takt
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Intruder Detection im 5 Minuten Takt
Hi,
wurde der Router vom T nur verkauft oder auch installiert?
Normalerweise sind die Router auch im Service, bitte mal nachschauen, dafür gibt es dann aber auch eine Hotline (die können auch was!).
Die Source Adresse ist eine Multicast-Adressen, die kommt sowieso nicht über den nächsten Router beim Provider.
Einfach eine FW-Regel bauen, alternativ (und besser) mal nachschauen welches interne Gerät sich so verhält.
Welchen DNS-Server haben denn Deine Clients eingetragen, die interne IP des Lancom oder den 8.8.8.8?
Was meinst Du mit
Das jede domain auflösbar ist, wundert mich aber schon sehr, das würde mir auch nicht gefallen.
Mach mal auf einem betroffenen Rechner ein "nslookup -all" und schau mal welcher DNS eingetragen ist.
VG aus OBC
Udo
wurde der Router vom T nur verkauft oder auch installiert?
Normalerweise sind die Router auch im Service, bitte mal nachschauen, dafür gibt es dann aber auch eine Hotline (die können auch was!).
Die Source Adresse ist eine Multicast-Adressen, die kommt sowieso nicht über den nächsten Router beim Provider.
Einfach eine FW-Regel bauen, alternativ (und besser) mal nachschauen welches interne Gerät sich so verhält.
Welchen DNS-Server haben denn Deine Clients eingetragen, die interne IP des Lancom oder den 8.8.8.8?
Was meinst Du mit
?die Ports (die ich der VOIP Telefonie zuordne) immer weiter Ansteigen (seit 2 Wochen!)
Das jede domain auflösbar ist, wundert mich aber schon sehr, das würde mir auch nicht gefallen.
Mach mal auf einem betroffenen Rechner ein "nslookup -all" und schau mal welcher DNS eingetragen ist.
VG aus OBC
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: Intruder Detection im 5 Minuten Takt
Hallo zusammen,
Kann man abschalten:
https://kundencenter.telekom.de/kundenc ... index.html
VG
Andreas
Das wird vermutlich die "tolle" Navigationshilfe der Telekom sein, die bei unbekannten Adressen eine Suchseite anbietet.ua hat geschrieben:Das jede domain auflösbar ist, wundert mich aber schon sehr, das würde mir auch nicht gefallen.
Kann man abschalten:
https://kundencenter.telekom.de/kundenc ... index.html
VG
Andreas
Re: Intruder Detection im 5 Minuten Takt
Hallo Andreas,
Viele Grüße
Udo
Asche auf mein Haupt, an den Quatsch habe ich gar nicht gedacht ...Das wird vermutlich die "tolle" Navigationshilfe der Telekom sein, die bei unbekannten Adressen eine Suchseite anbietet.
Viele Grüße
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: Intruder Detection im 5 Minuten Takt
Da die Pakete verworfen wurden, besteht keine Gefahr.
Hierbei handelt es sich um Pakete, die nach einer beendeten Verbindung noch nachgeliefert werden. Manchmal hängen Anfragen im System fest (merkt man ja manchmal, dass eine Seite nicht laden will oder ein Teil fehlt) und dein Rechner stellt die gleiche Anfrage nochmal, diesmal mit einem Ergebnis. Die erste Anfrage wird dann irgendwann beantwortet, aber die Verbindung ist bereits beendet. Dann schlagen die Antwortpakete einfach außen an der Firewall an und erzeugen sowas.
Wenn es im fünf Minuten-Takt erfolgt, ist es harmlos, wenn sowas 50x pro Sekunde passiert, kann man es als Angriff werten.
Hierbei handelt es sich um Pakete, die nach einer beendeten Verbindung noch nachgeliefert werden. Manchmal hängen Anfragen im System fest (merkt man ja manchmal, dass eine Seite nicht laden will oder ein Teil fehlt) und dein Rechner stellt die gleiche Anfrage nochmal, diesmal mit einem Ergebnis. Die erste Anfrage wird dann irgendwann beantwortet, aber die Verbindung ist bereits beendet. Dann schlagen die Antwortpakete einfach außen an der Firewall an und erzeugen sowas.
Wenn es im fünf Minuten-Takt erfolgt, ist es harmlos, wenn sowas 50x pro Sekunde passiert, kann man es als Angriff werten.
LCS NC/WLAN