Hallo Moin,

es gibt mehrere Möglichkeiten, das herauszufinden.

• Trace auf die IP exakt in der ms, in der der Angriff stattgefunden hat. Der letzte HOP vor dem Ziel ist meist ein lokaler Einwahlknoten und die sind aller Wahrscheinlichkeit fest installiert.
• Es gibt seiten im Netz, die aus IP-Tabellen eine lokale Zuordnung aufbauen. Woher die den Zusammenhang haben (Erfahrung, Vermutung, Provider ...), kann ich Dir nicht sagen.

Angriffe, die die NPFW meldet, sind meiner Erfahrung nach selten echte Angriffe. Wenn Du aber meinst, es sei ein echter Angriff, dann freunde Dich mit dem Gedanken an, dass die IP möglicherweise gespooft ist und Du einem Phantom nachjagst.

BTW: Was ist das für ein Server, auf dem Norton läuft?

Gruss, Thoralf