[Intrusion prevention] zeigt merkwürdige/verdächtige Zugriffe, was bedeutet das?

[Scylor]

Intrusion prevention zeigt bei mir merkwürdige Sachen an. Screenshots hier:




Ich hab traceroute laufen lassen und die IPs deuten auf golf.zq1.de (gehört zu hetzner) und freiwuppertal.de. Was genau könnte dahinterstecken? Wieso greifen die auf meinen Synology zu? Welcher Art ist dieser Zugriff, blockiert wurde nämlich bisher niemand. Die Zugriffe selbst scheinen ja durchaus häufig zu sein (hab das Paket erst seit gestern am laufen).

 

[Caup]

Im Internet toben sich jede Menge (nicht-) professionelle Leute aus, die sich einen Sport daraus machen, in fremde Systeme einzudringen.
Da wird jeder offene Port inspiziert und wehe, die Tür ist nicht gut verschlossen...
In meinem Netz läuft ein isolierter FTP-Server zur Kundenkommunikation, ohne Internetpublikation und letztendlich nur 10 Personen bekannt.
Trotzdem registriert der Server bis zu 100 Einwahlversuche/Tag und die "black list" hat inzwischen 6-stellig Einträge.

Wegen dieser Erfahrung ist hier alles dicht, bis auf den altbackenen FTP-Server, und selbst der wird systematisch angegriffen.
Ich fürchte, damit muss man leben und die Firewall gut pflegen (oder halt alle Ports wieder schliessen).

 

[Scylor]

Danke erstmal. Ich fürchte meine Netzwerkkenntnisse sind nicht so ganz auf dem neuesten Stand, aber was genau zeigt er denn hier an?

Der Synology hängt ganz normal hinter meinem Router, der ca. 5 Ports an ihn weiterleitet. So wie ich das sehe scannen die einfach mal alles was sie im Internet so finden und landen dann irgendwann auf meiner public Ip-Adresse. Aber was passiert jetzt? Wenn sie tatsächlich versuchen würden sich irgendwie einzuloggen dann würde ich das ja unweigerlich sehen (Notification center: Fehlgeschlagener loginversuch, außerdem würden sie ja nach ein Paar Versuchen auch direkt auf der Liste der gebannten IPs landen.

Das ist aber nicht der Fall, also was genau passiert hier, dass Intrusion detection die Sachen trotzdem anzeigt? Um überhaupt beim Synology anzukommen müssen sie ja einen der weitergeleitetet Ports ansprechen, aber wie genau passiert das?

 

[frankyst72]

*Ich habe keine Ahnung von Intrusion Detection* aber im letzten Screenshot steht doch, dass der Orangene vom TOR-Netzwerk kommt. Da wirst Du nimmer herausfinden, wer das war. Dazu ist TOR da. Auf den anderen Screenshots steht links etwas von 47 Paketen. Ich weiß nicht genau was ein Paket ist, aber wenn damit IP-Pakete gemeint sind, dann hat es keiner intensiv versucht. Egal was sie versucht haben.