Portscan hinter Fritzbox

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
F

Fotosonie

Neuer User
Mitglied seit
5 Mrz 2016
Beiträge
15
Punkte für Reaktionen
0
Punkte
0
ich habe seit ca, 4 Wochen (ich vermute seit Version 6.50) hinter meiner Fritzbox 7362 SL einen Portscan. Zumindest zeigt Bitdefender einen mit einer IPV6 Adresse an. Über Traceroute bekomme ich nichts sinnvolles raus, Spur führt nach Bayern. Wenn ich aber die IPV6 Adresse mit den Daten im Router vergleiche sind sie Identisch zur Adresse des Routers bis zum vorletzten Adressblock, der letzte ist anders aber nicht im Netzwerk vorhanden.


Der Router läuft im Stealthmodus, ein Online-Portscan hat aber auch nichts neues gezeigt. Ich vermute das der Zugriff von der Fritzbox selber kommt, aber was ist das?

Unbenannt.PNG
 
Zuletzt bearbeitet:
was ist das?
Zum Vergrößern anklicken....
Schlangenöl?
Außerdem gibt das Programm keine IPv6-Adresse an, sondern ein IPv6-Netz :D

Bitte schaue nach, ob das in der FB angegebene Präfix mit der Adresse übereinstimmt.
 
Moins


He? Die Spur führt nach Bayern?

Befindet sich...
C:\users\wzand\desktop\portscan.exe
...in Bayern?
 
Da hat das Drucker Tool wohl einfach nach nem Drucker/Scanner gesucht im Netzwerk?
 
das hat mit dem Drucker nichts zu tun, dann wären die Zugriffe zur gleichen Zeit wie die Portscans. Außerdem wären die Scan in einem gleichbleibenden regelmäßigen Abstand. Ebenfalls komisch da ich in den letzten 2 Jahren nichts an meiner Konfiguration geändert habe, dann wäre die Warnung nicht erst seit 4 Wochen. Ich gehe auch nicht davon aus das es ein Hacker ist, ich will es eben nur ausschließen.


He? Die Spur führt nach Bayern?
Befindet sich...
C:\users\wzand\desktop\portscan.exe
...in Bayern?
Zum Vergrößern anklicken....

nein, ist ein Tool mit dem ich wie oben beschrieben, zur Sicherheit selber ein Portscan durchgeführt hatte
 
Wir reden hier über UPnP Portfreigaben, nicht wahr?
Also über Portfreigaben/weiterleitungen von Internet auf lokale Geräte.
...sowas ist standardmässig deaktiviert.

Also hast du es aktiviert, warum?

Wenn du dir jetzt Sorgen machst, dann deaktiviere es einfach wieder.
Internet --> Freigaben --> Portfreigaben
[] Änderungen der Sicherheitseinstellungen über UPnP gestatten
[Übernehmen] (klick)
 
ich habe keine Portfreigaben.....

Screenshot (6).jpg
 
Wieso sollte es? Geht hier doch um interne Abfragen.

Das Subnet auf Bild sollte zu dem im Online Monitor passen.

Wäre es aus dem Internet müsste man das Gerät explizit wo vermeintliche Angriff stattfindet in FB freigeben und gesamte Firewall abschalten. Zumal müsste vermeinte Angreifer echte IP kennen, die Geräte kommunizieren ins Internet mit temporärer IP. Extrem unwahrscheinlich.
 
permanent direkt beim Einschalten kommen die Portscans, der Anfang der Präfix sind identisch, aber was versucht auf den Rechner zuzugreifen. anbei nochmal ein Bild
Screenshot (7).jpg
 
Fotosonie schrieb:
was versucht auf den Rechner zuzugreifen
Zum Vergrößern anklicken....
Hallo Fotosonie,
ein Portscan ist. u.U. eine Vorstufe vor einem Angriff auf offene Ports/Applikationen.

der Portscan auf dein PC kommt von IPv6-Adresse: 2003:6a:6c0d:6800:5e49:79ff:fe7f:917b
und ist von einem Netzteilnehmer aus dem Netzwerk von "Deutsche Telekom AG" aus Nürnberg/Bayern:
https://network-tools.webwiz.co.uk/ip-information.htm?ip=2003:006a:6c0d:6800:5e49:79ff:fe7f:917b

Gruß
Riverhopper

EDIT: Typo behoben
 
Zuletzt bearbeitet:
Schau doch unter Heimnetz - Netzwerkverbindungen nach, ob die ipv6 von der FB vergeben wurde: Abhängig vom Fritz!OS gebt es neben jedem Eintrag rechts einen Stift oder Bearbeiten-Button ... in dem Menü sollten die jeweiligen ipv6-Adressen sichtbar sein.
 
Hallo Fotosonie,
habe mir die IPs aus http://www.ip-phone-forum.de/attachment.php?attachmentid=86186&d=1461391042 angesehen;
Code: 
FB7362SL:
IPv4-Adresse:   79.219.213.200
IPv6-Adresse:   2003:6a:6c[COLOR=#EE82EE]7f[/COLOR]:8bf7:5e49:79ff:fe7f:917e
IPv6-Prefix:    2003:6a:6c[COLOR=#EE82EE]0d[/COLOR]:6800::/56

PortScan-IPv6:  2003:6a:6c[COLOR=#EE82EE]0d[/COLOR]:6800:5e49:79ff:fe7f:917b/128

Dies ergibt folgenden IPv6 address-range für das LAN der FritzBox:
IPv6 network:
2003:6a:6c0d:6800::/56
IPv6 addr range:
2003:006a:6c0d:6800:0000:0000:0000:0000-
2003:006a:6c0d:68ff:ffff:ffff:ffff:ffff


Gruß
Riverhopper

UPDATE: Text gemäß Inputs von thtomate12 #13 angepasst.
 
Zuletzt bearbeitet:
Ich denke da ist alles richtig, wieso darf ein Gerät nicht mehrere Adressen haben und Teil von mehreren Netzen sein?
 
HabNeFritzbox schrieb:
Laut Bild in #9 ist es die IP von der FB selbst.
Zum Vergrößern anklicken....
???

Code: 
FB7362SL WAN IPv6 Addr:   2003:6a:6c[COLOR=#ff0000]7f:8bf7[/COLOR]:5e49:79ff:fe7f:917[COLOR=#ff0000]e[/COLOR]
PortScan IPv6 Addr:       2003:6a:6c[COLOR=#ff0000]0d:6800[/COLOR]:5e49:79ff:fe7f:917[COLOR=#ff0000]b[/COLOR]
für mich sieht es unterschiedlich aus;
die LAN IPv6 Adresse der FB7362SL habe ich nirgends im Thread gefunden;
Portscanner-IP ist im lokalen Netz:
Code: 
IPv6 network:             2003:6a:6c[COLOR=#ff0000]0d:68[/COLOR]00::/56
IPv6 LAN IP range:        2003:6a:6c[COLOR=#ff0000]0d:68[/COLOR]00:0000:0000:0000:0000-
                          2003:6a:6c[COLOR=#ff0000]0d:68[/COLOR]ff:ffff:ffff:ffff:ffff

zur genauen Klärung wären Auszug der Interface-IPs, Routing-Table aus supportdata.txt seitens TE interessant;
Bitte posten und mal nach "6c0d:6800:5e49:79ff:fe7f:917b" greppen.

LG Riverhopper


EDIT: Text angepasst
 
Zuletzt bearbeitet:
Mal eine andere Frage...

Wenn ein Multimediagerät (Smartfon/Tablet/TV/Mediacenter, Post #14) nach UPnP/DLNA Quellen sucht, wertet die Box das als Portscan?
 
Zuletzt bearbeitet:
koyaanisqatsi schrieb:
Wenn ein Multimediagerät (Smartfon/Tablet/TV/Mediacenter, Post #14) nach UPnP/DLNA Quellen sucht, wertet die Box das als Portscan?
Zum Vergrößern anklicken....

ich denke der Portscan-Alert wird nicht von Box, sondern von Windows-PC in Firewall-Ereignisanzeige reportet;
auch läuft die DLNA-Geräte Identifizierung normalerweise per Multicast ab und nicht per Portscan.

LG Riverhopper
 
Zuletzt bearbeitet:
Die FB schaut bei den Geräten nach, ob da ein Webserver läuft, vielleicht wird das von der Angstmachsoftware als Angriff gewertet?
 
Ach so, die Ereignisliste stammt von der Firewall :D
...mein Fehler.

Dann die fritz.box als Ausnahme irgendwo da in den Abgründen der Firewallregeln eintragen.
...und hoffen, dass die Firewall DualStack versteht und mit fritz.box auch ihre IPv6 erkennt.
 
vielen Dank für eure Antworten, das habe ich auch vermutet. Ich trage mal die Daten bei Bitdefender ein und gebe dann Feedback was passiert.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 785 (Mitglieder: 25, Gäste: 760)

Neueste Beiträge

Statistik des Forums

Themen
246,197
Beiträge
2,247,850
Mitglieder
373,749
Neuestes Mitglied
derossi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück