PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Welche seltsamen Paket blockt meine Routerfirewall?


wry
2008-10-15, 12:28:30
Hallo,

habe heute entdeckt, dass meine Routerfirewall dauernd seltsame Pakete blockt. Jetzt frage ich mich was das für komische Pakete sind, die da alle Sekunde auf meinen Router eintreffen.

Habe Linksys WRT54GL mit Tomato 1.21 Firmware.
Meine IP: xxx.232.228.13, wobei das xxx immer die selbe Zahl ist, auch im folgenden Log.


Oct 15 12:17:24 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:c4:bf:1c:08:00:45:00:01:48 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=1339 PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 15 12:17:25 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:c4:bf:1c:08:00:45:00:01:48 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=1348 PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 15 12:17:26 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:c4:bf:1c:08:00:45:00:01:48 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=1355 PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 15 12:17:27 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:c4:bf:1c:08:00:45:00:01:48 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=1361 PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 15 12:17:28 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:19:b9:77:72:c0:08:00:45:00:00:ee SRC=xxx.232.228.11 DST=xxx.232.228.127 LEN=238 TOS=0x00 PREC=0x00 TTL=128 ID=7707 PROTO=UDP SPT=138 DPT=138 LEN=218
Oct 15 12:17:29 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:c4:bf:1c:08:00:45:00:01:48 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=1373 PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 15 12:17:30 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:a9:47:6e:f3:08:00:45:00:01:55 SRC=0.0.0.0 DST=255.255.255.255 LEN=341 TOS=0x00 PREC=0x00 TTL=128 ID=5 PROTO=UDP SPT=68 DPT=67 LEN=321
Oct 15 12:17:31 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:00:0c:3b:93:b4:08:00:45:00:01:48 SRC=xxx.232.1.5 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=60 ID=0 DF PROTO=UDP SPT=67 DPT=68 LEN=308
Oct 15 12:17:32 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:2f:50:33:08:00:45:00:01:48 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=1747 PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 15 12:17:33 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:2f:50:33:08:00:45:00:01:48 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=1749 PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 15 12:17:34 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:2f:50:33:08:00:45:00:01:48 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=1751 PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 15 12:17:35 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:a9:47:6e:f3:08:00:45:00:01:55 SRC=0.0.0.0 DST=255.255.255.255 LEN=341 TOS=0x00 PREC=0x00 TTL=128 ID=15 PROTO=UDP SPT=68 DPT=67 LEN=321
Oct 15 12:17:36 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:13:a9:47:6e:f3:08:00:45:00:01:48 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=16 PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 15 12:17:37 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:2f:50:33:08:00:45:00:01:48 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=1757 PROTO=UDP SPT=68 DPT=67 LEN=308
Oct 15 12:17:38 user.warn kernel: DROP IN=vlan1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:1d:72:2f:50:33:08:00:45:00:01:48 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=1759 PROTO=UDP SPT=68 DPT=67 LEN=308

Abdul Alhazred
2008-10-15, 12:52:02
Sieht wie die Zusammenfassung eines IP Paketes aus.

Um das genau zu erkennen ist das allerdings zu unspezifisch. Von der Zieladresse her müßte es ein Broascast Paket sein. Das 'DROP' deutet darauf hin daß das Paket ignoriert wurde.

Gast
2008-10-15, 13:31:40
Schau dir SPT (source port) und DPT (destination port) an.

Port 138 ist für Samba bzw. Windows network shared drives.
Port 67 und 68 sind für DHCP, glaube ich.

Wird wohl OK sein.

wry
2008-10-15, 13:43:38
Danke an euch.
Bin ich beruhigt :smile: