Hvordan standser jeg uønsket trafik?

Hvad er det for et program, du har til at lytte på de porte og hvilke portnumre er det ?

Start med atteste din forbindelse med shields up

http://www.grc.com/default.htm

og også gerne med http://scan.sygate.com for at se hvilke porte der er åbne i routeren.

Indefra kan du tage en HijackThis logfil og poste den her på eksperten for at se om der skulle være snavs på din maskine

bufferzone > Jeg har checket en hjt log fra maskinen i et andet spørgsmål og loggen var ren. Brugeren oprettede et nyt spørgsmål (dette), efter det blev konstateret at zonealarm loggede alle disse intrusions.

Jeg bruger telnet til at lukke portene med, - det var port nummer 4662 tcp og 4672 der var åbne. Men de er lukkede nu.

For to sekunder siden gik min Lan forbindelse helt død... og jeg måtte genstarte min router og min PC.

Hvad med at forwarde alt indkommende trafik på de porte i routeren, til et ikke eksisterende ipnummer på den indvendige side ?
Så burde du ikke kunne se trafikken.

Der kan være mange grunde til den slags trafik. En forkert konfigureret host på internettet, en inficeret maskine ogmeget meget mere. Du vil opleve periodevis mange hist på forskellige porte og hvis dun firewall blokkere det er det helt fint. Jeg prøver lige at finde ud af hvad disse porte specefikt bruges til og vender tilbage

4662 er noget Edonky/emule snask, så har du haft dette installeret, er der tale om andre klienter der forsøger at tilgå filer der har ligget hos dig

4672 er ligeså en edonkey/emule port.

hvis du har lukket for disse porte i routeren burde du ikke kunne se dem bagved, men.

Hvis der nu er tale om fragmenterede pakker, og din router ikke kan håndterede pakker, kan du være ude for at der kommer trafik igennem din router selv om du har blokkeret en port. Det er bl.a. en af de metoder man anvender for at omgå firewall funktionalitet. Hvis ikke din router har stateful inspection, kan den have svært med fragmenterede pakker og tilsvarende

bufferzone > det lyder yderst realistisk. Men hvordan får jeg det så stoppet? Jeg kan ikke forstå at folk kan komme helt ind til min firewall når nu porten er lukket... øv øv...

tonnybrandt > hvordan forwarder jeg til et ikke eksisterende ipnummer på den indvendige side? Vil det gøre, at min PC holder op med den larm?

bufferzone > jeg har nok nogle pakker liggende...

min router er en cisco 677... den kan måske ikke håndtere pakker.

Hvad kan jeg gøre for at de pakke-fragmenter som findes nu, - deaktiveres på min router, eller hvad der skal til?

"tonnybrandt > hvordan forwarder jeg til et ikke eksisterende ipnummer på den indvendige side? Vil det gøre, at min PC holder op med den larm?"

Du har jo forwardet de porte i forvejen i din router, så det er blot at skrive en anden ipaddresse ind istedet for den rigtige.
Hvis din maskine f.eks har 192.168.1.2 forwarder du blot porten til 192.168.1.10, og trafikken burde så ikke ramme dig.

Men hvorfor sætter du blot ikke op at de ikke må hente fra dig inde i dit fildelings program ?
Så vil de jo ikke blive omdirigeret til din maskine og trafikken vil stoppe.

Tusind tak indtil videre, - jeg vil lige undersøge mulighederne lidt nærmere, men skal til et møde nu her.

Jeg vender tilbage.

En Cisco router bør kunne bringst til at kunne håndtere stateful inspection, enten via en firmware upgrade eller ved at købe en bedre firmware (som jeg husker det hedeer den bedste firmware version du kan få til Cisco "Firewall Feature set" og den indeholder stateful inspection..

Du bør endelig ikke deaktivere din router, det vil slippe alt igennem

tonnybrandt > trafikken finder jo sted selvom programmet er lukket. Det er det der undrer mig.

Jeg vil lige prøve det med forwarden...

Det med forwarding fungerer heller ikke... jeg har netop skrevet dette til min router:

cbos#set nat entry add 10.0.0.2 4662 212.242.154.164 4662 tcp [enter]
cbos#write [enter]

IP adressen er naturligvis den forkerte denne gang. Men alligevel smutter folk igennem til min firewall... det burde jo i dette tilfælde ikke være muligt.

nu har jeg forsøgt mig med at afinstallere programmet, men det hjalp heller ingenting...

måske er der ikke noget at gøre ved det...

Hmm.. underligt. Jeg er nok ved at løbe tør for ideer, men er lige nødt til at spørge
1. om du har genstartet routeren efter du lavede nat entry'en om
2. nu er det ikke sådan at du har sat din maskine ud i en dmz zone vel ?

1. jeg har ikke genstartet routeren (men prøver lige)
2. ved ikke hvad en dmz zone er...

nå, - har lige genstartet, det hjalp ikke.

En dmz zone er en zone hvor man definerer adgangen til internet og lan.
F.eks står mange webservere i en dmz zone, mens der så er en enkelt port åben ind til en database server der står på netværket (lan). Http port 80 er så forwardet fra internettet til serveren i dmz zonen.

Men jeg kom til at tænke på at du jo måske kunne være kommet til at sætte den derud, hvis du f.eks havde et spil der ikke virkede ordentligt og forwardet alt til maskinen.

Men det er så nok ikke tilfældet.

Så er jeg nok blank.

jeg har ikke lavet nogen dmz zone i hvert fald... men antallet af "angreb" er lavere nu end før jeg ændrede min forward IP... jeg venter lige til i morgen aften med at se mere på sagen.

inde i min zonealarm står der hvilke programmer som er kørende lige nu og som har noget med internet at gøre, og en af dem hedder:

Application Layer Gateway Service
Listening to port(s): TCP : 1038

Kan det mon være noget farligt?

Jeg vender tilbage i morgen aften.

Her er noget om den service:
http://www.theeldergeek.com/application_layer_gateway.htm

Jeg lukker spørgsmålet. Tror ikke der er så meget at gøre ved det, andet end at vente på at det holder op af sig selv efter noget tid...

Ok, takker for point.