Häufige Port Scans - normal ?

Mitglied: Dilbert-MD

Dilbert-MD (Level 2) - Jetzt verbinden

30.03.2017 um 11:46 Uhr, 2936 Aufrufe, 8 Kommentare

Moin zusammen,

Zwecks VPN-Zugriff haben wir unser "Kabelmodem*)" quasi in einen Bridge Modus gesetzt so dass der Internetverkehr von außen jetzt ungefiltert bis zur dahintergeschalteten UTM (Sophos SG 105) vordringt. Somit erreichen auch alle Pings und PortScans die UTM und landen im Syslog und dazugehörige Warnungen via Mail bei mir.

In letzter Zeit gibt es vermehrt haufenweise Portscans mit Ursprung
89.163.146.72
89.163.242.118
89.163.242.169
und
155.94.89.42
155.94.65.2

https://www.administrator.de/images/c/1/4/19f249a84b3b048d3e3be82788aed5 ...

Laut utrace.de kommen die 155er von einem Wyeth-Ayerst Research Institut
https://www.administrator.de/images/c/1/4/e9c257372808cd8e8fa4e2263ac2b8 ..., https://www.administrator.de/images/c/1/4/cad84b22e2ddc8bfc376a92f7e522d ...

der Andere ist deutschen Ursprungs. Ich bekomme da aber nicht nur eine Warnung, dass Portscans stattgefunden haben, sondern an manchen Tagen 10 bis 30 Warnmeldungen.

Außerdem haben wir neulich einen neuen zusätzlichen Anschluss bekommen mit einer neuen IP.
Router angestöpselt, Grundkonfiguration erstellt, Testdownload eine Grafikkartentreibers (ging schnell!) und laufen lassen.
Schon nach wenigen Minuten trafen die ersten Portscans ein:

2017-03-16 13:34:09;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 163.172.88.123:5072 (UDP): connection refused;
2017-03-16 13:31:15;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 62.138.14.127:5082 (UDP): connection refused;
2017-03-16 13:18:16;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 92.42.106.173:5720 (UDP): connection refused;
2017-03-16 13:09:50;19;1;Dst: 88.15x.yy.zz:1900 {1783VAW.intern}, Src: 222.114.62.121:31744 (UDP): connection refused;
2017-03-16 12:56:50;19;1;Dst: 88.15x.yy.zz:3386 {1783VAW.intern}, Src: 198.20.69.98:30227 (UDP): connection refused;
2017-03-16 12:48:09;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 163.172.88.123:5095 (UDP): connection refused;
2017-03-16 12:40:03;19;1;Dst: 88.15x.yy.zz:17 {1783VAW.intern}, Src: 185.94.111.1:40346 (UDP): connection refused;
2017-03-16 12:31:44;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 213.202.233.58:6153 (UDP): connection refused;
2017-03-16 12:20:01;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 62.138.14.127:5082 (UDP): connection refused;
2017-03-16 12:01:25;19;1;Dst: 88.15x.yy.zz:65476 {1783VAW.intern}, Src: 213.202.233.61:5921 (UDP): connection refused;
2017-03-16 11:58:17;19;1;Dst: 88.15x.yy.zz:5060 {1783VAW.intern}, Src: 89.163.242.118:5296 (UDP): connection refused;
2017-03-16 11:53:54;0;5;[ETH-2] link down;

(11:53 habe ich den Laptop ausgestellt)


Gehört das noch zum sog. 'Grundrauschen' des Internets oder ist das schon auffällig häufig?
Sucht da jemand nach offenen SIP-Ports, um an Telefonanlagen 'ranzukommen ?

Gruß
Holger

*)
unser Provider hat als Netzabschluss eine FB7390 hingestellt und uns die Zugangsdaten gegebn, so dass die auch konfigurieren können (z.B. für unsere Telefone). Bisher hatten wir also eine Routerkaskade. FB arbeitet jetzt als Exposed Host.
war_1 - Klicke auf das Bild, um es zu vergrößernwar_2 - Klicke auf das Bild, um es zu vergrößernportscan - Klicke auf das Bild, um es zu vergrößern
Mitglied: 132692
132692 (Level 2)
LÖSUNG 30.03.2017, aktualisiert um 11:58 Uhr
Gehört das noch zum sog. 'Grundrauschen' des Internets
Jepp, vollkommen normal! Das ist noch wenig.

Gruß p.
Bitte warten ..
Mitglied: plexxus
LÖSUNG 30.03.2017 um 11:55 Uhr
Ja, leider ist das Internet ein wilder Westen. :( face-sad
Deshalb .. UPNP und so Dinge mit Vorsicht genießen.
Keine Default Ports verwenden (hab ssh immer verbogen), bzw. (Open)VPN oder L2TP-IPSEC für den Zugriff von extern auf intern.
Server in ein DMZ (sollte die Sophos haben).
Wartungsports (https,. ssh) der Sophos nicht im WAN freigeben.
Bitte warten ..
Mitglied: brammer
LÖSUNG 30.03.2017 um 11:56 Uhr
Hallo,

schlicht und ergreifend Grundrauschen.....

30 Portscan am Tag? Das reicht gerade dafür das die Firewall nicht einschläft.... das schaffen wir aktuell in 5 min.....

brammer
Bitte warten ..
Mitglied: plexxus
30.03.2017 um 12:03 Uhr
hab bei mir ca 100 Scans in der Minute, aber gut. T_T
Bitte warten ..
Mitglied: Dilbert-MD
30.03.2017 um 12:15 Uhr
Danke für die "guten" nachrichten. ich hätte nicht gedacht, dass das Grundrauschen so laut ist. In der Nähe eines Werksgeländes schon, aber auch bei Neuen Anschlüssen....

Ich gebe zu, ich hatte bisher auch keine Logfiles und die Speedports und Fritzboxen geben ja nicht viel her.

Gruß
Holger
Bitte warten ..
Mitglied: LordGurke
30.03.2017 um 13:20 Uhr
Siehe auch hier: Die Portscans gehen auf das gesamte Internet los, nicht nur irgendwelche vermeintlich "interessante" Netze.
https://www.administrator.de/wissen/alle-sichtung-firewall-logs-schnell- ...
Bitte warten ..
Mitglied: aqui
30.03.2017 um 14:11 Uhr
Jepp, vollkommen normal! Das ist noch wenig.
Ist völlig normal end sehr sehr wenig bei dir. Da hast du eine sprichwörtliche "ruhige Minute" erwischt.
Normal liegt das im Faktor 100 und mehr höher. Weltfremd wer was anderes annehmen würde.
Ist ja schon alles gesagt dazu..
Bitte warten ..
Mitglied: Dilbert-MD
31.03.2017 um 16:57 Uhr
Zitat von LordGurke:

Siehe auch hier:

Ja ich glaube diesen Beitrag hatte ich im Hinterkopf. Ich erinnerte mich noch an das dort genannte Wort "Grundrauschen".
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 1 TagAllgemeinWünsch Dir was24 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Festplatten, SSD, Raid
SATA Treiber für HP
gelöst ben1300Vor 1 TagFrageFestplatten, SSD, Raid21 Kommentare

Hallo zusammen, ich habe einen PC von HP (Seriennummer: CZC3475D5D) Wollte hier Windows 7 Prof. installieren - es fehlt der SATA Treiber Leider kann ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 1 TagFrageHardware16 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Cloud-Dienste
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
tobitobsnVor 1 TagFrageCloud-Dienste14 Kommentare

Moin zusammen, ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind ...

Sicherheitsgrundlagen
TI am Ende - Aus für Konnektor und elektronische Gesundheitskarte: Gematik stellt TI 2.0 vor
StefanKittelVor 1 TagInformationSicherheitsgrundlagen5 Kommentare

Hallo, nach der Großstörung in 2020 und allgemeinen Vorwürfen bezüglich der zweifelhaften Konnetktoren scheint die TI nun den Stecker ziehen zu wollen. Nachdem nun ...

Windows Systemdateien
Sql Server 2014 mit extrem vielen DBs auf neuen Server migrieren
gelöst itnirvanaVor 1 TagFrageWindows Systemdateien6 Kommentare

SQL DB Migration auf anderen Server eigentlich ok. Management Studio export . Anderer Server Imporr. Berevhtigung neu setzen SQL User ersteölen etc Jetzt habe ...

Outlook & Mail
Gibt es ein allgemeines Outlook senden Problem zur Zeit?
StefanKittelVor 1 TagFrageOutlook & Mail3 Kommentare

Hallo, habe gerade kurz hinterander 2 völlig getrennte Kunden mit dem gleichen Wirren Problem in Outlook. A) Outlook 2019, Exchange bei Busymouse24 (Hoster), Mit ...

Netzwerkgrundlagen
Cisco IOS: shut?
gelöst ral9004Vor 1 TagFrageNetzwerkgrundlagen15 Kommentare

Hallo Auf dem Cisco Switch läuft IOS XE Gibraltar (16.12) Die Dokumentation des Config Scripts enthält diese Anweisung "shut" wird die Abkürzung für "shutdown" ...