Pakete aus 127.x.x.x Loopback-Bereich werden verworfen

[Neosun]

Hallo zusammen,

ich habe einen neuen LC 1781VA mit LCOS 8.84.0193RU3.
Das Gerät stellt nur eine Internetverbindung (Plain Ethernet) mit fester IP über ein externes SDSL-Modem zu QSC her.
Dies funktioniert soweit auch gut und ohne Probleme.

Im LANMonitor sieht mein seit ein paar Tagen in den Firewall-Ereignissen etwas merkwürdiges für meine Begriffe.
An den Firewall-Regeln selbst habe ich nichts verändert sozusagen Werkszustand.
Hier werden wiederkehrend zum Teil minütlich Pakete verworfen (Firewall-Regel DoS protection oder intruder detection).
Interessant ist die Quell-Adresse es handelt sich hier um Loopback-Adressen zum Beispiel 127.157.125.58 oder 127.190.125.53. immer von Port 17 (UDP)
Das Ziel ist immer die feste IP (WAN) von QSC und der Zielport 53 (DNS). Alle Loopback-Adressen kann ich anpingen.

Wie und wo kann ich nun herausfinden zu welchen Gerät die Adressen gehören bzw. was die Ursache dafür ist?

Herzlichen Dank schon mal für eine kleine Hilfestellung

[MariusP]

Hi,

127.0.0.0/8 - This block is assigned for use as the Internet host
loopback address. A datagram sent by a higher level protocol to an
address anywhere within this block should loop back inside the host.
This is ordinarily implemented using only 127.0.0.1/32 for loopback,
but no addresses within this block should ever appear on any network
anywhere

Schau dir mal die Pakete an, welche MAC addresse sie haben.
Alternativ kannst du auch auch im Ethernet trace( nach Addressen filtern) anschauen, über welchen Lan-Port die Pakete an das Lancom kommen.
Gruß

[backslash]

Hi Neosun

Interessant ist die Quell-Adresse es handelt sich hier um Loopback-Adressen zum Beispiel 127.157.125.58 oder 127.190.125.53. immer von Port 17 (UDP)
Das Ziel ist immer die feste IP (WAN) von QSC und der Zielport 53 (DNS).

dabei dürfte es um sich eine Variante des sog. LAND-Angriffs handlen, bei dem die Absenderadresse des Pakets die Loopback-Adresse ist, um einfache Firewalls auszutricksen (der "normale" LAND-Angriff verwendet als Absender-Adresse die Ziel-Adresse). Sinn des Angriffs ist, daß das Paket dauerhaft innerhalb des IP-Stacks des Opfers kreist und somit das Opfer auslastet (DOS-Angriff).

Alle Loopback-Adressen kann ich anpingen.

natürlich kannst du diese Adressen "anpingen", da ja dein eigener PC das Ping selbst beantwortet.

Alles in allem: Sei froh, daß die Firewall die Pakete rausfiltert...


@MariusP

Schau dir mal die Pakete an, welche MAC addresse sie haben.

das dürfte recht sinnfrei sein, weil die Pakete aus dem WAN kommen und somit die MAC-Adresse des QSC-"Modems" haben (bei Plain-IP ist das wohl eher ein Router als ein Modem)

Alternativ kannst du auch auch im Ethernet trace( nach Addressen filtern) anschauen, über welchen Lan-Port die Pakete an das Lancom kommen.

sie dürften über den DSL-Port kommen...

Gruß
Backslash

[MariusP]

Hi,
Mir kommt es halt komsich vor warum Paketen mit solchen IPs aus dem Inet kommen sollen.
Daher wollte ich ausschliesen, dass die Pakete nicht doch aus dem Lan kommen.
Gruß