Dies geschieht nur beim Surfen. Ich habe einen dieser Router, der eingehenden Datenverkehr nicht einmal blockiert, sodass die Firewall meines Computers die ganze Arbeit erledigen muss. Im Protokoll unten habe ich Firefox verwendet, aber dies geschieht mit jedem Browser. In meinem Firefox sind HTTP2, Web Worker, Service Worker, WebRTC und viele andere Dinge deaktiviert/blockiert, sodass es mir wirklich ein Rätsel ist, wie die Server es schaffen, unerwünschte Verbindungen zu meinem Computer anzufordern. Dies geschieht beim Surfen auf mehreren Websites, aber nicht auf allen.
Date Time Direction Process path Protocol Source IP Src Port Dest. IP Dest.Port Action Window title
17/04 16:23:59 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50755 | 204.79.197.200 | 443 | Allowed | Startpage.com - The world's most private search engine - Mozilla Firefox
17/04 16:23:59 | In | - | TCP | 204.79.197.200 | 443 | 10.0.0.3 | 50730 | Blocked |
17/04 16:23:59 | In | - | TCP | 204.79.197.200 | 443 | 10.0.0.3 | 50735 | Blocked |
17/04 16:23:59 | In | - | TCP | 204.79.197.200 | 443 | 10.0.0.3 | 50735 | Blocked |
17/04 16:25:25 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50766 | 37.252.238.25 | 443 | Allowed | unsolicited incoming connections at DuckDuckGo - Mozilla Firefox
17/04 16:25:25 | In | - | TCP | 37.252.238.25 | 443 | 10.0.0.3 | 50766 | Blocked |
17/04 16:29:50 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50785 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:51 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50786 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:51 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50787 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:51 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50788 | 201.48.71.43 | 443 | Allowed | Bing - Mozilla Firefox
17/04 16:29:54 | In | - | TCP | 201.48.71.43 | 443 | 10.0.0.3 | 50788 | Blocked |
17/04 17:03:12 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50986 | 151.101.1.69 | 443 | Allowed | Super User - Mozilla Firefox
17/04 17:03:12 | Out | C:\program files\mozilla firefox\firefox.exe | TCP | 10.0.0.3 | 50987 | 151.101.1.69 | 443 | Allowed | Super User - Mozilla Firefox
17/04 17:03:18 | In | - | TCP | 151.101.1.69 | 443 | 10.0.0.3 | 50986 | Blocked |
17/04 17:03:18 | In | - | TCP | 151.101.1.69 | 443 | 10.0.0.3 | 50987 | Blocked |
Es gibt noch viele weitere Beispiele, aber sie folgen alle demselben Muster: Ich greife auf die Site zu, die eine Verbindung zu einer bestimmten IP herstellt, dann erfolgen ein oder mehrere unerwünschte eingehende Verbindungsversuche von derselben IP.
Weiß jemand, was, warum und wie das passiert?
Antwort1
Nein, ich glaube, die Firewall Ihres Computers lügt Sie an.
Gemessen an der Auswahl der lokalen und Remote-Ports werden wahrscheinlich völlig normale Antwortpakete angezeigt, die zu einer vorhandenen ausgehenden Verbindung gehören, aber es ist aus irgendeinem Grund nicht möglich, sie dieser Verbindung zuzuordnen.
Um zu wissen, ob eine Verbindung eingehend oder ausgehend ist, muss eine Firewall statusbehaftet sein – sie achtet auf jedes TCP-Paket und merkt sich die entsprechenden Adress- und Portpaare. Sie weiß beispielsweise, dass alle Pakete mit lokaler Adresse (10.0.0.3, 50766) und Remote-Adresse (37.252.238.25, 443) zu einer ausgehenden Verbindung gehören, die Ihr Browser hergestellt hat.
Wenn ein Antwortpaket eingeht, überprüft die Firewall ihre Verbindungstabelle und stellt fest, dass das Adresspaar (37.252.238.25, 443) bis (10.0.0.3, 50766) bereits bekannt ist – das Paket stellt keine neue Verbindung dar, sondern lediglich eine Antwort auf eine bestehende (ausgehende) Verbindung und muss zugelassen werden.
Wenn die Statusinformationen jedoch aus irgendeinem Grund desynchronisiert werden – z. B. wenn die Hosts selbst denken, dass eine Verbindung noch offen ist, die Firewall dies jedoch bereits vergessen hat –, kann sie den Typ des eingehenden Pakets nicht mehr ohne weiteres bestimmen. In diesem Fall kann die Firewall nicht mehrweißdass das eingehende Paket zu einer Verbindung gehört, die ursprünglich ausgehend war – daher wird es letztendlich stattdessen einem separaten „eingehenden“ Eintrag zugeordnet.
Eine mögliche Ursache ist beispielsweise, dass Ihr Computer geradegesendetdas FIN-Paket "Verbindung schließen", aber der Remote-Server hatnoch nicht erhaltenes (weil die Datenübertragung nicht sofort erfolgt) und sendet Ihnen weiterhin fröhlich Pakete. Wenn Ihre Firewall die Verbindung sofort vergisst, wenn sie das ausgehende FIN sieht, kann sie diese eingehenden Pakete natürlich nicht als noch zur selben Verbindung gehörend erkennen. (Halbgeschlossene Verbindungen sind in TCP gültig, aber ich würde es einer Firewall nicht zutrauen, dies nicht zu erkennen.)
Dies passiert manchmal auch, wenn die Firewall nur eine sehr kleine Statusbegrenzung hat. Ich habe beispielsweise Heimrouter gesehen, die nicht mehr als 50 oder 100 Status gleichzeitig verfolgen können (dazu gehören nicht nur TCP-Verbindungen, sondern auch UDP-Streams – beispielsweise erstellt jede DNS-Anforderung über UDP einen neuen Status, damit die Antwort durchgelassen werden kann). Ebenso haben einige Firewalls eine sehr kurze Statusablaufzeit – sie vergessen TCP-Verbindungen möglicherweise, sobald diese ein oder zwei Minuten lang inaktiv sind, obwohl es völlig normal ist, dass eine Verbindung deutlich länger inaktiv bleibt.
(Manchmal sind Firewalls übereifrig dabei, Dinge abzulehnen, die beide Hosts als normal betrachten würden. Als beispielsweise Browser anfingen, mit TCP Fast Open zu experimentieren, blockierte mein damals von meinem ISP bereitgestellter HeimrouteralleTFO-Pakete basierend auf der Annahme, dass „SYN-Pakete keine Daten enthalten können“ und rief jedes Mal „Einbruchsalarm“ in seinen Protokollen. Ich glaube, das ist ein wichtiger Grund dafür, warum QUIC getrennt von TCP entwickelt wird.)