Hallöchen,
seit ich LCOS 5.0 drauf habe, bekomme ich von der Firewall verstärkt solchen Meldungen und können mir die Experten das erklären:
Date: 6/24/2005 7:18:59
The packet below
Src: 172.16.3.49:1028 Dst: 84.168.238.38:137 {Pitbull} (UDP)
45 00 00 4e c2 11 00 00 6f 11 97 7d ac 10 03 31 | E..N.... o..}...1
54 a8 ee 26 04 04 00 89 00 3a c9 93 01 00 00 10 | T..&.... .:......
00 01 00 00 00 00 00 00 20 43 4b 41 41 41 41 41 | ........ CKAAAAA
41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 | AAAAAAAA AAAAAAAA
41 41 41 41 41 41 41 41 41 00 00 21 00 01 | AAAAAAAA A..!..
matched this filter rule: intruder detection
filter info: packet received from invalid interface T-ONLINE instead of LAN
because of this the actions below were performed:
reject
send SNMP trap
send email to administrator
Intruder detected Meldung (LC1821 und LCOS 5.0)
Moderator: Lancom-Systems Moderatoren
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi froeschi62
Das ist ein NetBIOS Node-Status-Request, der von der Adresse 172.16.3.49 an deine öffentliche IP-Adresse (84.168.238.38) geschickt wurde. Desweiteren kam das Paket aus dem Internet und hätte eigentlich nur aus dem LAN kommen dürfen, da du wohl das 172.16.3.x Netz im LAN verwendest.
Kennst Du die Adresse 172.16.3.49? Und wenn ja, wo steht der Rechner?
(es könnte ja sein, daß sich da ein Fehler in die Intrusion-Detection eingeschlichen hat).
Wenn Du die Adresse nicht kennst, dann ist die Meldung offenbar korrekt.
Gruß
Backslash
Das ist ein NetBIOS Node-Status-Request, der von der Adresse 172.16.3.49 an deine öffentliche IP-Adresse (84.168.238.38) geschickt wurde. Desweiteren kam das Paket aus dem Internet und hätte eigentlich nur aus dem LAN kommen dürfen, da du wohl das 172.16.3.x Netz im LAN verwendest.
Kennst Du die Adresse 172.16.3.49? Und wenn ja, wo steht der Rechner?
(es könnte ja sein, daß sich da ein Fehler in die Intrusion-Detection eingeschlichen hat).
Wenn Du die Adresse nicht kennst, dann ist die Meldung offenbar korrekt.
Gruß
Backslash
Habe das gleiche Problem
Hallo @all,
ich habe das Gleiche Problem - seit LCOS 5.0:
---
The packet below
Src: 192.168.10.8:2169 Dst: 84.168.210.56:135 (TCP)
45 00 00 30 26 15 40 00 75 06 ee 21 c0 a8 0a 08 | E..0&.@. u..!....
54 a8 d2 38 08 79 00 87 95 87 56 47 00 00 00 00 | T..8.y.. ..VG....
70 02 fa f0 a1 ce 00 00 02 04 05 b4 01 01 04 02 | p....... ........
matched this filter rule: intruder detection
filter info: packet received from invalid interface T-ONLINE instead of LAN
-----
Mein Subnetz ist 192.168.0.xxxx
Mir ist keine der IP Adressen bekannt!
Kann man aufgrund der Hex Zahlen noch etwas über den Inhalt des Paketes herausfinden!? Kennt sich da jemand mit Protokollen und Tools aus!?
Ebenfalls über weitere Hinweise dankbar!
Gruss
cmdriker
ich habe das Gleiche Problem - seit LCOS 5.0:
---
The packet below
Src: 192.168.10.8:2169 Dst: 84.168.210.56:135 (TCP)
45 00 00 30 26 15 40 00 75 06 ee 21 c0 a8 0a 08 | E..0&.@. u..!....
54 a8 d2 38 08 79 00 87 95 87 56 47 00 00 00 00 | T..8.y.. ..VG....
70 02 fa f0 a1 ce 00 00 02 04 05 b4 01 01 04 02 | p....... ........
matched this filter rule: intruder detection
filter info: packet received from invalid interface T-ONLINE instead of LAN
-----
Mein Subnetz ist 192.168.0.xxxx
Mir ist keine der IP Adressen bekannt!
Kann man aufgrund der Hex Zahlen noch etwas über den Inhalt des Paketes herausfinden!? Kennt sich da jemand mit Protokollen und Tools aus!?
Ebenfalls über weitere Hinweise dankbar!
Gruss
cmdriker
Hi cmdriker,
das ist einfach ein Paket aus dem Internet, was vermutlich von irgend einem Rechner falsch rausgeschickt wurde und als AbsenderAdresse 192.168.10.8 hat und deshalb von der IDS geblockt wird, nichts besonderes, das kommt haeufig vor und hat nichts mit LCOS 5.0 zu tun.
Ciao
LoUiS
das ist einfach ein Paket aus dem Internet, was vermutlich von irgend einem Rechner falsch rausgeschickt wurde und als AbsenderAdresse 192.168.10.8 hat und deshalb von der IDS geblockt wird, nichts besonderes, das kommt haeufig vor und hat nichts mit LCOS 5.0 zu tun.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.