vielleicht weiss es ja jemand von euch, was könnte dies hier bedeuten : 05.01.2007 13:45:29 **Smurf** 196.217.215.0, 12213->> 84.166.247.243, 59219 (von PPPoE1 - Eingang)
Diesen Eintrag habe ich eben beim Durchlesen der Routerereignisse entdeckt.
Edit : Meldung angepasst, zuerst hatte ich nur die Hälfte da stehen
Nee--hatte den Router, Pc alles aus. Als ich gerade alles einschalte und im Router nachschaue steht da der Mist auch drin.
Habe ja die automatische Konfig auf aus stehen-kann es sein das T-Com versucht ein Update aufzuspielen? Habe ja noch Version 1.16 drauf und die soll auch bleiben!!
Habe das gerade gefunden::
Als Smurf-Attacke bezeichnet man eine besondere Art eines Angriffs auf ein Computersystem oder -netzwerk.
Bei einem Smurf-Angriff sendet ein Angreifer ICMP-Echo-Requests (Pings) an die Broadcast-Adresse eines Routers. Als Absender wird in diese IP-Pakete die Adresse des Opfers eingetragen. Je nach der Konfiguration des Routers leitet dieser die Anfrage in das innere Netz weiter. Das hat zur Folge, dass alle angeschlossenen Clients dem Opfer auf die vermeintliche Anfrage antworten. Je nach Anzahl der Clients kann der Angreifer auf diese Art mit nur einem ICMP-Paket eine hohe Anzahl von Antworten an das Opfer erzeugen.
Router, die durch ihre Konfiguration einen solchen Angriff ermöglichen, werden Smurf-Amplifier genannt.
Nutzt der Angreifer beispielsweise seine 1Mbit-Leitung aus und sendet Pings an einen Amplifier, an den 1000 Clients angeschlossen sind, so wird das Opfer mit einem Stream von knapp 1GBit konfrontiert. Dies führt je nach Opfer zu einer völligen Auslastung des Netzwerks oder des Betriebssystems, einem Überlaufen des Netzwerkstacks oder zum Absturz des Systems.
Man spricht in diesem Fall auch von einer (D)DoS-Attacke.
Am besten unterbindet man Smurf-Attacken durch den Einsatz einer Firewall.
Und das T-Online-Team schreibt dazu:
Wenn es einen Smurf-Atacke geben sollte, dann blockiert die integrierte
Firewall des Speedport W 700V sie.
>Ist Smurf noch draussen vor der Tür? Oder sitzt Smurf schon bei mir auf dem Sofa?
>Oder bin ich selbst schon Smurf?
Im konkreten Fall hat es vermutlich gar keinen Angriff gegeben. Die
Firewall sucht nach "verdächtigen" Aktivitäten und die Unterscheidung
zwischen "verdächtig" und "unverdächtig" erfordert eine Interpretation
der beobachteten Aktivitäten, die durchaus auch mal falsch sein kann. In
dem von Ihnen geposteten Logfile-Eintrag liegt offensichtlich eine
solche Fehlinterpretation vor.
Das sind lumpige neun Pakete, verteilt über eine fast eine Viertelstunde
- eine DOS-Attacke seht anders aus. *zwinkern An den IP-Adressen aus dem
"Link-Local"-IP-Adressbereich ist zudem erkennbar, dass das eine rein
lokale Angelegenheit war.
Es ist gewiss nicht immer einfach, die Einträge in den Logfiles von
Firewalls richtig zu interpretieren. Das ist aber auch gar nicht
erforderlich. Ignorieren Sie so etwas einfach und lassen Sie sich nicht
beunruhigen.
Danke für die gute Erklärung zu den Smurf Attacken.
Zitat von k95
Mit freundlichen Grüßen
Ihr T-Online-Team
Wir sind hier trotzdem beim "Du". Siezen in Foren und in Newsgruppen schafft eine Distanz, die nicht sein muss und Eingefleischte könnten darauf leicht säuerlich reagieren, weil es dem, dem man antwortet in diesen Medien überlicherweise zu verstehen gibt, dass man ihn nicht mag...
Bei mir war's ja eine externe Anfrage, aber da es nur 1 Mal passiert ist, werde ich es wohl ignorieren. Zumal der W700V es ja auch schon als Smurf bezeichnet hat, wird er's wohl geblockt haben. Sind 169'er IPs privat ?
@max93
das mit der Anredeform" Du" ist mir wohlbekannt.
Allerdings hatte ich keine Lust den kopierten Text der T-Online auf Forumskomforme Schreibweise zu ändern.
Nein. 169.254.x.y ist privat - besser: reserviert - eines der Schwarzen Löcher im Internet.
Zitat von [url=https://www.nwtools.com/default.asp?prog=network&host=169.254.0.0
nwtools[/url]]OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US
NetRange: 169.254.0.0 - 169.254.255.255
CIDR: 169.254.0.0/16
NetName: LINKLOCAL
NetHandle: NET-169-254-0-0-1
Parent: NET-169-0-0-0-0
NetType: IANA Special Use
NameServer: BLACKHOLE-1.IANA.ORG
NameServer: BLACKHOLE-2.IANA.ORG
Comment: Please see RFC 3330 for additional information.
RegDate: 1998-01-27
Updated: 2002-10-14
Zitat von [url=https://www.nwtools.com/default.asp?prog=network&host=192.168.0.0
nwtools[/url]]OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US
NetRange: 192.168.0.0 - 192.168.255.255
CIDR: 192.168.0.0/16
NetName: IANA-CBLK1
NetHandle: NET-192-168-0-0-1
Parent: NET-192-0-0-0-0
NetType: IANA Special Use
NameServer: BLACKHOLE-1.IANA.ORG
NameServer: BLACKHOLE-2.IANA.ORG
Comment: This block is reserved for special purposes.
Comment: Please see RFC 1918 for additional information.
Comment:
RegDate: 1994-03-15
Updated: 2002-09-16
Die Adressbereiche 10.x.y.z, 172.16.x.y, 127.x.y.z, 240.x.y.z kannst Du selber probieren, in dem Du auf den Link im Zitat klickst, in das Eingabefeld 10.0.0.0 einträgst, (*) Network Lookup auswählst und [Submit] klickst; das ganze dann auch noch mit 172.16.0.0, 127.0.0.0, 240.0.0.0 wiederholst (und die anderen Optionen - Ping, Trace, ... sind auch ganz nett, z.B. dies hier ... )
Ich habe auch massenhaft **Smurf** Einträge in der Routerlog ... die IPs China, Luxembourg, Marocco usw.
Merkwürdigerweise ist dies aber nur der Fall, wenn ich hier Besuch habe und dessen Notebook eingelogt ist, bzw einlogt.
Hat da jemand eine Idee zu, warum dem so ist?
Der Router scheints zwar erfolgreich zurückzuweisen, aber trotzdem würde mich interessieren, warum dem so ist.
Ich denke mal, auf dem Notebook wird ja dann schon irgendwas vorhanden sein, was die "Smurfjäger" oder "Smurftrojaner" förmlich anlockt.
Ich bedanke mich schon mal jetzt für sachdienliche Hinweise.
Achja ... alle Rechner, samt diesem Notebook gehen über Auto-IP rein.
Router ist der V700 von T-Com, übrigens der gleiche da wo das Notebook daheim ist, dort gibt es zwar ein paar Portfreigaben, sonst konnte ich aber keine Unterschiede in der Konfiguration feststellen.
Ich denke du meinst den Smartsurfer - benutzt niemand hier, wird auch nicht auf diesem Notebook verwendet, weil alle Rechner seit eh und je auf DSL laufen.
Sorry, drum hab ichs als mögliche Lösung eigentlich gleich überlesen.
Hi Sonicwave ... erst mal den anderen Eintrag (Doppelpost und verkehrte Rubrik) hatte ich ebens qualifiziert verbockt ... entweder war ich zu "plond" oder zu neu.
Ja was deine letzte Nachricht betrifft, ist zwar nicht mein NB, trotzdem hab ichs vor mal gerade einer Woche in jungfräulichen Zustand versetzt und danach komplett neu aufgespielt.
Phishing oder Spyware hab ich nichts entdecken können.
Aber ich will mal nicht ausschließen, daß es sich besser versteckt als ich suche.
Auf dem NB werden Mirc und MX benutzt, ist da eventuell nen Zusammenhang zu suchen??