Portscan attack wel of niet gevaarlijk

[snarf54]

Bijgaand log vanuit router met vele portscan attacks.

Kan dit nu wel of geen kwaad ?
In modem staat firewall aan zo ook op iedere PC (W7's) en op iedere computer MSE.
Op computer nimmer meldingen.
Maar ben liever zeker...

Daarnaast nog een bijzondere vermelding die ik nooit eerder gezien heb

cccBeSignalHandler(): Event ID = 201

Alvast bedankt

 

[Lutz]

Vertel ons eens wat je als modem/router gebruikt. Portscans zijn hier alledagse koek en gebeuren om de paar seconden. Mijn firewall staat op stealth mode, en gemiddeld blijft iedere ip adres maar 3 keer proberen. Bij jouw zijn dat 7 keer, dus ruim het dubbele.

Je kan kijken wat bij een firewall test van de router uitkomt: https://www.grc.com/x/ne.dll?bh0bkyd2

 

[snarf54]

Bedankt @Lutz
SHieldsUP ken nu evne niet aan gedacht.
Staat overal op Stealth maaar toch failed
Solicited TCP Packets: PASSED — No TCP packets were received from your system as a direct result of our attempts to elicit some response from any of the ports listed below — they are all either fully stealthed or blocked by your ISP. However . . .



Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system remained wisely silent. (Except for the fact that not all of its ports are completely stealthed as shown below.)



Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation.

Dus alleen op PING reageert deze nog.
Modem is Zyzel 2812HNU-F1
Kan ik dat ook nog ergens tegen gaan ?

 

[snarf54]

Keek net even in log
ongeveer 900 attacks in half uur tijd
SYN_FLOODING ATTACK:SRC=4.79.142.206 DST=*.*.*.* [last message repeated 1 times in 0 seconds]

 

[snarf54]

Nu weer zo'n SYN_Flooding attack
SYN_FLOODING ATTACK:SRC=91.226.212.41 DST=*.*.*.* [last message repeated 3 times in 0 seconds]

ik heb wel gezocht op het web maar gaat mijn kennis te boven. Wel dat het gevaarlijk is maar of de bescherming vd router voldoende is..

Wie weet meer ?

 

[Lange Pier]

Portscan kun je meestal door de router laten weigeren, kijk in het manual.

 

[snarf54]

Thx Modem is Zyxel P-2812HNU-F1
Moet ik eens zoeken hoe dat beschreven is voor leken.
Wel was log gestopt eind nov
Syslog stond ineens op disable en ip adres server stond op 0.0.0.0.
Deze heb ik nu weer enabled en als server adres 10.0.0.254 ingevoerd en zie nu idd weer log items
Kan dit er ook mee te maken hebben ?

 

[Lange Pier]

Heb effies het manual doorgenomen maar die optie is er niet.
Indien in de log er bij staat dat het geweigerd is dan wordt het al gedaan en hoef je je ook geen zorgen te maken.

Snap alleen die opmerking over het serveradres niet, welke server?, je wan ip krijg je van de isp en de router heeft zelf een ip adres die je ziu kunnen veranderen maar hoeft niet, is alleen bedoeld als je de router in bridge mode of als repeater laat werken en die hetzelfde adres heeft als de host.

 

[snarf54]

Nee dat staat er niet bij niet meer als de zin die in genoemd anders anders dan repeated 3 times in 0 sec.
In bedoel puur de log setting.
Zie bijlage. Log werkt weer (anders had ik deze attack ook niet gezien) maar wel markant dat deze uit stond.
Zeker niet zelf gedaan want kom nooit in die sectie.