shakotai
Goto Top

Umleitung von IP-Adresse mit unbekanntem Verursacher und Ziel. (NETGEAR Security Alert)

Guten Morgen,
Vielleicht weiß jemand von euch Rat?

Vor einiger Zeit habe ich die Benachrichtigungsfunktion bei meinem alten Netgear Router eingeschaltet. Seither bekomme ich "NETGEAR Security Alert" Mails mit dem Hinweis, ein bestimmter Win 7 Rechner würde TCP Packets an eine bestimmte Internetadresse senden. (TCP Packet - Source:xxx.xxx.xxx.33,64908 Destination:178.79.246.28,4.246.28 ). Die Destination verändert sich geringfügig.

Ich habe versucht über Ursache und Ziel etwas heraus zu finden. Zur obigen Destinations-IP wurde ich nur hier fündig: Robtex.com . Demnach handelt es sich beim Ziel um cds423.fra.llnw.net. Kann ich nix mit anfangen, auch nichts darüber heraus finden.

Ebenso wenig über die Ursache, den Versender des Paketes.

Könnte mir jemand helfen hier für Klarheit zu sorgen, vielleicht auch das Ziel der IP lokal umzuleiten, bis ich genaueres darüber weiß?

Vorab Danke
Shakotai

Content-ID: 346825

Url: https://administrator.de/contentid/346825

Ausgedruckt am: 25.11.2024 um 15:11 Uhr

sabines
sabines 21.08.2017 aktualisiert um 07:49:50 Uhr
Goto Top
Moin,

hier wirst Du fündig https://db-ip.com/178.79.246.28
https://de.wikipedia.org/wiki/Limelight_Networks

Aber was spricht dagegen die IP zu sperren und ggfs. den Sender PC mal zu scannen, ob da ein Drucker oder eine Cloud SW oder sonstwas funkt?

Gruss
StefanKittel
StefanKittel 21.08.2017 um 08:14:38 Uhr
Goto Top
Moin,

sabines hat ja schon was zum lime geschrieben.

Server
EdgePrism/4.4.7.0

Zertifikate
Das Zertifikat gilt nur für folgende Namen: *.hs.llnwd.net, *.llnw.com, *.llnw.net, *.lvp.llnw.net, *.phx2.llnw.net, *.phx3.llnw.net, *.upload.llnw.net, *.video.llnw.net, *.cs.lldns.net, *.loris.llnwd.net, *.s.loris.llnwd.net, *.llnwi.net, *.s.llnwi.net, *.limelight.com, *.video.limelight.com, *.videoplatform.limelight.com, *.llnw-trials.com, *.assets.delvenetworks.com, *.delvenetworks.com, *.s.delvenetworks.com, *.cpl.delvenetworks.com, *.s.cpl.delvenetworks.com, *.vo.llnwd.net, *.s.mfs.lvp.llnw.net, *.vp.llnw.com, *.mfs.lvp.llnw.net, *.lldns.net, *.mfs.video.llnw.net, *.content.video.llnw.net, *.smedia.lvp.llnw.net, *.s.content.video.llnw.net, *.s.mfs.video.llnw.net, *.mmdlive.lldns.net

http://www.streamingmedia.com/PressRelease/Limelight-Networks-Delivers- ...

Vieleicht hilft das mit den Zertifikaten ja weiter um die Software zu finden.
Kann aber alles sein. Von Software- oder Treiber-Update-Funktion. Trojaner oder Virus eher nicht, aber unmöglich ist auch das nicht.
Webradio oder Cloudsoftware fällt mir noch ein.

Viele Grüße

Stefan
runasservice
runasservice 21.08.2017 aktualisiert um 10:13:40 Uhr
Goto Top
Zitat von @Shakotai:



Ebenso wenig über die Ursache, den Versender des Paketes.
Könnte mir jemand helfen hier für Klarheit zu sorgen, vielleicht auch das Ziel der IP lokal umzuleiten, bis ich genaueres darüber weiß?


Es gibt einige Methoden den Verursacher zu finden (oft ganz harmlos). Wenn es schnell gehen soll, einfach mal GlassWire (Freeware Version) auf den betreffenden PC installieren. Das Programm protokolliert die Netzwerkverbindungen der auf deinen PC installierten Software und ermittelt auch den verursachten Traffic (über Tage/Wochen/Monate).

MfG
aqui
aqui 21.08.2017 um 10:49:31 Uhr
Goto Top
Na ja wenn die Source IP ein lokaler Win7 Rechner dann wird der sich ja wohl kinderleicht identizizieren lassen.
Entwerder über die IP Adresse oder eben über seine Mac Adresse. Wireshark ist hier wie immer der beste Freund des Netzwerkers !
Damit hat man dann den Verursacher und kann dann mit TCPView oder den üblichen Sysinternal Tools sofort sehen welche Applikation diesen Traffic verursacht.
Wo ist denn da nun das Problem ?
Obwohl...bei NetGear sollte man auch vorsichtig sein was die als "Alert" bezeichnen und was nicht. Megakompetent im Netzwerk Sektor sind die bekanntlich nicht...
Pjordorf
Pjordorf 21.08.2017 um 12:17:01 Uhr
Goto Top
Hallo,

Zitat von @Shakotai:
"NETGEAR Security Alert" Mails mit dem Hinweis, ein bestimmter Win 7 Rechner würde TCP Packets
Ist damit deine ausgexte IP xxx.xxx.xxx.xxx.33 gemeint? oder ist das deine Öffentliche WAN IP? Mal geschaut wer denn diese Verbindungen aufbaut? kann dein uns unbekannter NETGEAR Router auch sagen wer welche Verbindung offen hat? Mal wie schon gesagt mittels Wireshark geschaut wer dein Verursacher im LAN ist? Um Rechner schnell mal auszuhorchen reicht ein TCPView (https://technet.microsoft.com/de-de/sysinternals/tcpview.aspx). Das muss noch gar nicht mal Lokal installiert werden, in einer Freigabe rein und laufen lassen (auf jeden von dir verdächtigten PC). Oder sind das alles nicht Windows PCs?

Ich habe versucht über Ursache
Und was genau hast du versucht?

Ebenso wenig über die Ursache, den Versender des Paketes.
Sogar eine EasyBox 802 (Vodafone) kann dir sagen wer welche Verbindung aufgebaut hat. Nicht jeder Router kann das und dann teils schon gar nicht per GUI. Was dein uns unbekannter Router kann wird wohl dein Geheimnis bleiben. Selbst bei einer FritzBox kannst du ein Paketmitschnitt bekommen sofern die nicht vom ISP beschnitten wurde.

vielleicht auch das Ziel der IP lokal umzuleiten
Das wird nichts, denn dein Router hat es ja schon ins Internet geblasen. Finde den absender (PC in dein Netz) und du kannst es gar abstellen. Aber vielleicht kann dein uns unbekannter NETGEAR Router ja die Ziel IP's auf einer Sperrliste setzen?

Gruß,
Peter
Shakotai
Shakotai 21.08.2017 um 16:52:49 Uhr
Goto Top
Hallo und Guten Morgen!

Zunächst mal Danke an alle, welche mir so schnell antworteten und für die Hinweise...

@sabines
Ich habe erst mal die entsprechenden IP-Adressen gesperrt (Win-Firewall) und beobachte mal, was sich weiter ergibt, ob irgendwelche Soft meckert. An 'scannen' hatte ich schon gedacht, aber hier bin ich mit meinen Kenntnissen ziemlich am Ende. Am betreffenden Rechner (der ist bereits identifiziert) hängt nichts dran. Keine Cloud, kein Drucker. Es handelt sich um einen von mehreren virt. Win 7 Rechnern in einer VMWare-Umgebung
@StefanKittel
Wie gesagt, Cloud ist nicht angedacht gewesen für den Rechner. Ob ein Webradio drin ist, weiß ich nicht. Genutzt wurde es jedoch noch nie. Prüf ich.

@runasservice
Bin gerade dabei mir Glasswire runter zu laden und nachher auszuprobieren. Muss ich mich vertraut machen.

@aqui
Wie oben schon gesagt, der Rechner ist bereits identifiziert. Mir geht es eher darum zu erfahren wie ich diese 'Security Alerts' einzuschätzen habe. Also welcher Dienst oder was auch immer diese Pakete wohin sendet. Bin jetzt nicht mal unbedingt der Meinung es müsse sich ' zwangsläufig' um irgendwelche Schadware handeln. Als das 'Problem zum ersten Mal auftrat bin ich massiv mit Virenscannern von A bis z drüber gegangen, habe jede mir bekannte Methode gegen Schadware eingesetzt. Mit begrenztem Erfolg. Adwcleaner fand ein mehr harmloses Malwareprogramm. Das wars.

@Pjordorf
Beim Router handelt es sich um einen Netgear 'ADSL Modem Router Firewall DG834B'. Ein älteres Gerät, welches seinen Dienst noch etwa 6 - 8 Wochen zu versehen hat. Firmware aktuell. Er gibt mir aber nur den Rechner an, von dem das Paket gesendet wurde. Die benannte IP xxx.xxx.xxx.xxx.33 .
Wenn ich richtig informiert bin gibt TPView die 'aktuellen' Verbindungen an. Bei sporadischen Fehlern scheint das nicht zielführend. Deswegen lasse ich gerade Fiddler mitlaufen. Über Wireshark informiere ich ich.

Danke. Erst mal abarbeiten... face-smile
Shakotai
Pjordorf
Pjordorf 21.08.2017 aktualisiert um 18:12:16 Uhr
Goto Top
Hallo,

Zitat von @Shakotai:
Beim Router handelt es sich um einen Netgear 'ADSL Modem Router Firewall DG834B'.

OK, mehr als die Quell IP, Ziel IP und der Port welcher aufgerufen wird gibt er dir nicht. Was sich hinter der IP und dessen Port befindet, wird schwer sein zu ermitteln, gerade wenn nicht die IP im HTTP(S) Aufruf sondern ein Name sich dahinter verbirgt. Oder es gar nicht ein http(s) ist sondern ein "Trojaner runterlader..."

Die benannte IP xxx.xxx.xxx.xxx.33 .
Mehr braucht es erst mal nicht. Jetzt musst du nur schauen was dieser Rechner so tut, auch wenn es sporadisch ist.

Deswegen lasse ich gerade Fiddler mitlaufen.
Den hier http://www.telerik.com/fiddler? The free web debugging proxy for any browser, system or platform. Du hast nichts von Proxy gesagt!

Über Wireshark informiere ich ich.
Das wird der bessere sein, vor allem wenn es sporadisch auftritt. Wenn ich dich richtig verstanden habe ist die Ziel IP immer mit dabei, lass den also auf die Ziel IP Capturen. Sogenannter capture Filter "host 178.79.246.28" und aufzeichnen lassen. Wenn der Rechner dieses Ziel ansteuert, wird auch genau nur das aufgezeichnet.

Gruß,
Peter
Shakotai
Shakotai 23.08.2017 um 17:17:21 Uhr
Goto Top
Hallo Peter,
Fiddler hat sich tatsächlich als nicht sonderlich hilfreich erwiesen. Nur eine unübersehbare Datenmenge erzeugt... face-smile

Ich habe mir gerade Wireshark runtergeladen. Muss mich damit aber erst noch vertraut machen. Danach werde ich deinen Tipp beherzigen. Kann aber leider nicht dabei bleiben....

Aktive Viren oder Trojans scheine ich aber nicht auf dem Rechner zu haben. Habe noch mal aktualisiert und komplett gescannt. Denke jetzt zusätzlich an die Möglichkeit eines Bots. Prüfe ich mit...

CU
Shakotai
Pjordorf
Pjordorf 23.08.2017 um 17:32:44 Uhr
Goto Top
Hallo,

Zitat von @Shakotai:
Aktive Viren oder Trojans scheine ich aber nicht auf dem Rechner zu haben
Kann auch etwas ganz Legales sein was dort die Verbindung aufbaut. Da wirst du notfalls per TCPView oder ProcessMonitor oder einfach mit den MS eigenen Message Analyzer nach der sir sogar die Prozess ID liefert bzw. dir sagen welches Programm das jetzt war. Der MS Message Analyzuer ist der Nachfolger vom MS Network Monitor und tut so ungefähr das was Wireshark tut oder andere.

https://en.wikipedia.org/wiki/Comparison_of_packet_analyzers

Wenn du nur die Ziel IP und die Quell IP aus dein LAN hast, ansonsten es nur Sporadisch auftritt, wird es nicht gerade einfach. Evtl. helfen dir auch Process Monitor bzw. Process Explorer usw.. Und wenn du nicht die ganze Zeit da dran bleiben kannst (Aufwand) dann musst du eben alles an Informationen in Logs Packen. Achte drauf das die Logs auch Platz haben (entsprechend großen Speicher) den das werden ganz schnell Gigabytes in Hülle und Fülle, teils sind Logs dann im TeraByte bereich keine seltenheit. Stellt sich nur die Frage was du aufschreiben lässt und für wie lange.

Evtl. ist das neu aufsetzen des Clients schneller und zielführende, aber es kann dir keiner sagen ob das verhalten erneut kommt. Du kennst die Ursache ja nicht.

Gruß,
Peter
108012
108012 24.08.2017 um 05:26:30 Uhr
Goto Top
Hallo,

LimeNetworks bietet unter anderem für folgende Kunden Content und Dienstleistungen an;

Amazon, ARD, Capcom, Disney, EA Sports, Facebook, Groupon, HBO, Microsoft, Myspace, Netflix,
Nissan, Quiksilver, Sony, Sun Microsystems, Toyota und Viacom.


Also irgend etwas muss auf dem PC statt finden was dann dort hin Verbindung aufnimmt!
Schau Dir bitte einmal alle Kunden an und welche Dienste Du dort nutzt! Amazon.de vielleicht, oder Nachrichten Ticker
via ARD Mediathek eventuell, NetFlix oder Facebook oder gar Microsoft selber werden von denen bedient, also schau
bitte noch einmal genau nach!

Für Laien ist es auch nett wenn man sich schnell einmal TinyWall installiert und dann den Lernmodus einschaltet und dann
ab und zu einmal schaut welches Programm mit dem Internet Kontakt aufgenommen hat, das ist dann schon einfacher zu
druchschauen wer mit wem "redet".

Könnte mir jemand helfen hier für Klarheit zu sorgen, vielleicht auch das Ziel der IP lokal umzuleiten, bis ich genaueres
darüber weiß?
Man kann die IP Adresse sicherlich sperren, aber wenn dann das eine oder gar mehrere Programme nicht mehr funktionieren
dann ist das auch nicht mehr so nett!

Gruß
Dobby
Shakotai
Shakotai 24.08.2017 aktualisiert um 08:27:12 Uhr
Goto Top
Morgen Dobby,

Die einzigen "Kunden" von denen etwas bei mir auf dem Rechner installiert ist, sind Micro$oft und Sun. Wobei ich Sun mit Oracle (Java) übersetze. Wobei, Java steht seit einiger Zeit auf manuell.

Der Rechner selber wird primär als 'Frontend' genutzt, also zur Kommunikation, Recherchen, Chats, Foren und Downloads. Soft zum Arbeiten oder Bankingsoft sind auf anderem Rechner installiert. Dort wird aber bewusst nicht gesurft.Nachrichten Ticker nutze ich nur auf dem Handy und Amazon 'erledige' ich online ohne zusätzliche Soft. Es dürfte auf der Maschine also kein entsprechender Dienst vorhanden sein.

Nicht funktionierende Anwendungen konnte ich darüber hinaus bis jetzt nicht feststellen.

@Pjordorf
Morgen Peter,
weißt du ob Wireshark vor oder hinter der WinFirewall aufsetzt? Wireshark läuft seit gestern Abend, ich konnte jedoch bislang die 'üblichen Verdächtigen IP" im Protokoll nicht feststellen. Wenn danach, wäre dies erklärlich. Ich habe die IPs in der Firewall gesperrt.

Erfolgreichen Tag allerseits.
Shakotai
Pjordorf
Pjordorf 24.08.2017 aktualisiert um 12:17:42 Uhr
Goto Top
Hallo,

Zitat von @Shakotai:
weißt du ob Wireshark vor oder hinter der WinFirewall aufsetzt?
Nun, ich würde hier mal sagen aus sicht von Wireshark - vor der Windows Firewall und dann kommt die LAN Buchse. Kann aber auch sein das der WinPCap sich aus sicht von Wiresahrk hinter der Firewall direkt vor der LAN Buchse einnistet. Das ist aber eher Kosmetik und auch hinfäälig wenn du die IP ja gesperrt hast. da wirst du dann nichts messen. Ein Diesel Motor der nicht läuft erzeugt auch keine falschen Messergebnisse, oder? face-smile

Wireshark läuft seit gestern Abend, ich konnte jedoch bislang die 'üblichen Verdächtigen IP" im Protokoll nicht feststellen.
Hast du dort einen capture Filter am laufen? Gegengeprüft das der genau das tut was du erwartest (gegenprobe mit einer anderen bekannten IP (kann gar eine LAN IP sein). Und wenn du dann nach den Verdächtigen IPs suchst und es wird nichts Protokolliert, dann wird diese IP auch anicht angesprochen bzw. wird von dort nichts abgeholt.

Wenn danach, wäre dies erklärlich. Ich habe die IPs in der Firewall gesperrt.
Ist blöd wenn mann das wonach man sucht Sperrt. Ist so als wenn du die Abgase eines Autos testen willst, aber das Garagentor gesperrt hast, du nicht am Auspuff dran kommst, und dich wunderst das der Angastester dir frische Luft anzeigt... face-smile

Gruß,
Peter
Shakotai
Shakotai 24.08.2017 um 18:33:09 Uhr
Goto Top
[quote] Ist so als wenn du die Abgase eines Autos testen willst, aber das Garagentor gesperrt hast, du nicht am Auspuff dran kommst, und dich wunderst das der Angastester dir frische Luft anzeigt.[quote]

face-smile Um deine Metapher aufzugreifen: Demnach müssten zwischen Auspuff und Garagentor jedoch deutlich besser messbare Werte zu finden sein... face-smile

Ich mache dein Garagentor aber dennoch mal auf... face-smile

Gruß
Shakotai