Wer telefoniert hier nach Hause?

[elarei]

Hallo,

ich habe einen neuen Router, der sämtliche Internetzugriffe protokollieren kann. Dabei fällt mir auf, dass es zu einer Reihe von dubiosen "Anrufen" kommt, die heute den ganzen Tag lang passierten, als ich offline war:


[LAN access from remote] from 188.97.93.246:32861 to 192.168.1.2:12937, Thursday, May 10,2012 18:55:36 [LAN access from remote] from 188.97.93.246:34315 to 192.168.1.2:12937, Thursday, May 10,2012 17:57:33 [LAN access from remote] from 65.55.223.34:40046 to 192.168.1.2:12937, Thursday, May 10,2012 17:53:11 [LAN access from remote] from 65.55.223.34:40046 to 192.168.1.3:23786, Thursday, May 10,2012 17:53:11 [LAN access from remote] from 188.97.93.246:33982 to 192.168.1.2:12937, Thursday, May 10,2012 17:47:17 [LAN access from remote] from 64.4.23.149:40001 to 192.168.1.2:12937, Thursday, May 10,2012 17:42:05 [LAN access from remote] from 64.4.23.149:40001 to 192.168.1.3:23786, Thursday, May 10,2012 17:42:05 [LAN access from remote] from 188.97.93.246:33982 to 192.168.1.2:12937, Thursday, May 10,2012 17:37:00 [LAN access from remote] from 111.221.77.140:40024 to 192.168.1.2:12937, Thursday, May 10,2012 17:30:58 [LAN access from remote] from 111.221.77.140:40024 to 192.168.1.3:23786, Thursday, May 10,2012 17:30:58 [LAN access from remote] from 188.97.93.246:33933 to 192.168.1.2:12937, Thursday, May 10,2012 17:26:44 [LAN access from remote] from 64.4.23.157:40035 to 192.168.1.3:23786, Thursday, May 10,2012 17:19:50 [LAN access from remote] from 64.4.23.157:40035 to 192.168.1.2:12937, Thursday, May 10,2012 17:19:50

Wie schon gesagt, ich war nicht zuhause und kein PC war hier aktiv, nur der Router war an.

Wer ruft mich da an und warum? Bin ich Teil eines Botnetzes? Ist das einfach mein ISP, der in regelmäßigen Abständen guckt, ob ich noch lebe? Verblüffenderweise handelt es sich bei den internen IPs auch genau um jene beiden, die ich für Laptop und Desktop benutze.

Edit: Wenn ich die Adressen google, scheinen zwei der häufig aufkommenden Server in Redmond (Windows?) und Singapur (???) zu stehen.

 

[Aviator]

irgendwie passt die Überschrift nicht zum Thread

 

[elarei]

... Da ist irgendwas schief gegangen. (Ich hatte irgendwas geklickt, womit ein alter Thread von mir wieder im Textkasten erschien, den ich dann einfach gelöscht und ausgetauscht habe - kann sein, dass es dabei die Überschrift auch mitübertragen hat.)

 

[yatpu]

wieso bist du verblüfft, dass die genannten internen ips zu deinen beiden geräten gehören? wo soll der router die pakete denn abliefern, wenn sie von draußen kommen? dass sie nach intern durchgereicht werden, bedeutet, dass sie zu einer bereits bestehenden verbindung gehören müssen, da der router sie nur dann einer internen ip zuordnen kann. verbindungsanfragen von außerhalb, kann der router nur mithilfe von portforwarding weiterleiten. existiert weder eine zum paket passende von innen eröffnete verbindung, noch ein port-forwarding, verwirft der router das paket, da es unzustellbar ist.

benutzt du irgendwelche ms-dienste, wie hotmail, skydrive, msn messenger oder so?

die adressen aus redmond gehören tatsächlich ms, wie eine whois-abfrage auf die betreffenden ips ergibt.

 

[mectst]

Ich vermute hier ist nur dein Router selbst das "Opfer" und dir jemand von außen versucht etws unterzuscheiben, was aber nicht klappt, da ja kein "Abnehmer" in deinem internene Netzwerk da ist. IP 192.168.1.2 ist übrigens oftmals das Standard-Gateway, also der Router.
Ansonsten sieht es so aus, als ob deine DSL-Verbindung dauerhaft aktiv ist, so dass sich auf dein Router von außen zugreifen lässt. Versuche mal umzustellen, dass die DSL-verbindung nach Zeit x automatisch getrennt wird und erst wieder aufgebaut wird, wenn du selbst Daten von außen anforderst.

Grüße Thomas

 

[yatpu]

die adresse des routers endet in >98% der fälle auf "1". da hier die ips 192.168.1.2 und 192.168.1.3 im log auftauchen, wird der router die 192.168.1.1 haben. da versucht mit sicherheit niemand ihm was unterzuschieben. da der router die pakete einem internen empfänger zuordnen kann, muss bereits eine verbindung bestehen, zu der das paket gehört, oder es wurde ein portforwarding eingerichtet, was sowohl manuell, als auch per upnp von innen erfolgen kann.

 

[elarei]

Hi,

danke für die Infos, da lerne ich noch was. Bewusst habe ich keine Portforwardings eingerichtet. Ich habe Skype und die Windows-Dienste (Uhrzeit, Update o.ä.?) im Verdacht, wobei ersteres auch die Calls aus Saarbrücken erklären würde (...ich benutze Skype eigentlich nur nach dort).

 

[Mornsgrans]

188.97.93.246 ist ein Arcor-Anschluss im Raum Saarbrücken
65.55.223.34 ist Microsoft in Redmont
111.221.77.140 Microsoft Singapur
64.4.23.157 ist Hotmail, Redmont
Da hatte wohl jemand DynDNS eingerichtet und MS-Dienste mit Weiterleitungen auf sein Netzwerk konfiguriert. Dieser ist nun offline und Du hast jetzt dessen alte öffentliche IP. Da der andere seine IP bei DynDNS noch nicht aktualisiert hat, laufen wohl alle Anfragen bei Dir auf.

 

[naquaada]

Hast du einen Internetprovider mit fester IP, wie Kabel Deutschland, oder einen mit dynamischer IP, wie die Telekom? Wenn du eine dynamische IP hast, gelegentlich mal den Router resetten, damit sich die IP ändert. Hast du ein offenes WLAN, un einer pfuscht dir im Netzwerk rum? Hast du viele Rechner im Netzwerk? Wenn dir wirklich jemand ins irgendein Netz pfuscht, dann geht das natürlich leicht, wenn der Router einen Standardgateway wie 192.168.x.y hat, x ist meistens 0, 1 oder 2. Ich bin kein Netzwerkexperte, aber vielleicht bringt es was, den Gatewa auf so etwas wie 192.168.97.y zusetzen, also einen Wert, der nicht standardmäßig ist. Man müßte dann halt nur alle Rechner im Netzwerk anpassen.

Du kannst ja auch testweise mal Hotspot Shield installieren, da gibt sich der Rechner dann mit einer anderen IP und Standort USA aus, kannst ja mal schauen, was dann passiert. Das ist übrigens auch eine feine Methode, Meckermeldungen der GEMA in YouTube zu umgehen