Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Mijn computer lijkt portscans uit te voeren naar 1 IP

08-08-2011, 20:43 door Anoniem, 3 reacties
Hallo

Gedurende een paar dagen krijg ik door een UTM10 regelmatig een mailtje (is zo ingesteld dus dat klopt wel) met de volgende inhoud:

At time : 2011-08-08 19:03:09
Intrusion Prevention System of UTM detected : UDP Portscan .
Target host IP : 83.83.XX.XXX
Number of ports which scanned in target host: 125 The port range scanned in target host : 23730:34412 The number of active attack connection : 958 The attacker IP : 192.168.1.42

Die 'attacker' is dus mijn pc. Ik ben op dat moment ook mijn internetverbinding kwijt (wrsch door de UTM). Als ik een aantal apps sluit (skype, teamviewer, dropbox) krijg ik na een paar minuten weer toegang tot internet en kan het een dag of een aantal uren goed gaan... Meestal forceer ik een even eigen handmatig IP waardoor ik niet hoef te wachten, maar baal hier wel van.

Ik heb hitmanpro, bitdefender en mbam gedraaid en heb een actieve comodo firewall draaien die geen bijzonderheden aangaf voordat het net weer fout ging. In de logs is niets te vinden.

Iedere keer is het naar hetzelfde IP 83.83... die reageert als ik hem ping (bij ziggo), maar die ik niet ken.
Ik het logisch dat mijn pc uit zichzelf portscans uitvoert of moet ik dieper zoeken naar een probleem?

Ik dank jullie voor het antwoord.
Reacties (3)
09-08-2011, 09:50 door SirDice
Door Anoniem: Ik het logisch dat mijn pc uit zichzelf portscans uitvoert of moet ik dieper zoeken naar een probleem?
Nee dat is niet logisch. Maar ik vermoed dat er iets anders aan de hand is. Namelijk dat jouw router een beetje een brakke IDS heeft. Het is mogelijk doordat de verbinding wegvalt diverse applicaties continue blijven proberen om verbinding te maken. Dat kan een IDS detecteren als een poort scan. Het is ook mogelijk dat een applicatie veel connecties probeert te maken wat jouw IDS als een portscan detecteert. Door die detectie is het mogelijk dat de IDS jouw machine blokkeert (IPS functie) waardoor je dus geen internet meer hebt.
09-08-2011, 13:16 door Bitwiper
Door Anoniem: Intrusion Prevention System of UTM detected : UDP Portscan .
[...]
Die 'attacker' is dus mijn pc.
Hoeft niet, elke PC in jouw LAN kan het IP-adres van jouw PC als afzenderadres gebruiken (dit kan in elk UDP pakket, maar ook in TCP SYN pakketjes - mits het niet de bedoeling van de aanvaller is om daadwerkelijk een TCP verbinding op te bouwen). Maar ik vermoed dat de pakketjes inderdaad van jouw PC komen, en jouw NetGear UTM10 reageert zoals SirDice hierboven aangeeft.

Het zou me niet verbazen als het daarbij om TeamViewer of Skype verkeer gaat (of Hamachi?). Wel interessant is te weten of die uitgaande pakketjes het gevolg zijn van iemand die met jouw PC verbinding probeert te krijgen. Ik zou met wireshark aan de gang gaan om e.e.a. uit te zoeken. Googlen naar Teamviewer 83.83 geeft ook wat resultaten.

N.b. als je zelf "slimme" tools gebruikt die "door NAT kunnen breken" moet je er rekening mee houden dat anderen ook door de NAT van jouw router heen kunnen proberen te hoppen, en jouw PC bereiken. Je kunt alleen maar hopen dat die tools jouw PC voldoende beschermen.
09-08-2011, 16:24 door Anoniem
Dank jullie wel voor de serieuze reacties.

Ik weet dat er geen andere pc's op het netwerk actief waren op dat moment, dus moet het inderdaad mijn eigen pc zijn geweest. Vandaag heb ik Skype niet aangehad en is het probleem niet opgetreden. Ik ga nu testen met skype.

Snap alleen niet zo goed waarom skype steeds naar een IP in Utrecht toe wil, maar goed.

Ik zal een reactie plaatsen als blijkt dat het Skype is.

(Pc heeft verder geen 'slimme' tools, dus dat scheelt :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.