[sage] Rätselhafte UDP Verbindungsversuche
Juergen Kahnert
Juergen.Kahnert at DESY.de
Fri Dec 19 15:20:58 CET 2008
Hallo,
wir beobachten hier zur Zeit viele UDP Verbindungsversuche (~1'500'000
pro Tag) auf eine IP, die seit Jahren nicht mehr aktiv war. Die Pakete
kommen überwiegend aus China (>>99%), wobei das durchschnittlich ~150
verschiedene IPs pro Tag sind (mal mehr, mal weniger).
Die versuchen diese IP immer auf UDP Port 62997 zu erreichen. Und das
seit Monaten mit wachsender Begeisterung. Was da geschickt wird ergibt
für uns wenig Sinn. Die Pakete ähneln sich und der Datenanteil sieht in
etwa so aus:
6a00 0000 0032 0001 0100 0006 0000 1500 0000 f74b 26f3 c59c 4800 7ce6 12d1 4007 0000 0000 0000 0001 0004 0000 001f 2700 0002 0015 0000 0013 a127 f304 aa48 00de f1a9 8315 f669 01a8 c0f6 1500 0400 0400 0000 0200 0000 0500 0800 0000 66dd 93d2 e208 2a00 0600 0400 0000 0000 0000
6a00 0000 0032 0001 0100 0006 0000 1500 0000 e3a0 27e2 04aa 4800 3b33 0999 d208 1201 a8c0 f615 0001 0004 0000 001f 2700 0002 0015 0000 0013 a127 f304 aa48 00de f1a9 8315 f669 01a8 c0f6 1500 0400 0400 0000 0500 0000 0500 0800 0000 66dd 93d2 e208 2a00 0600 0400 0000 0000 0000
6a00 0000 0032 0001 0100 0006 0000 1500 0000 3da3 27fb 05aa 4800 7ce4 3336 6805 0000 0000 0000 0001 0004 0000 001f 2700 0002 0015 0000 0013 a127 f304 aa48 00de f1a9 8315 f669 01a8 c0f6 1500 0400 0400 0000 0600 0000 0500 0800 0000 66dd 93d2 e208 2a00 0600 0400 0000 0000 0000
6a00 0000 0032 0001 0100 0006 0000 1500 0000 f236 16bf 8652 2500 def6 3595 7ce0 0000 0000 0000 0001 0004 0000 001f 2700 0002 0015 0000 0013 a127 f304 aa48 00de f1a9 8315 f669 01a8 c0f6 1500 0400 0400 0000 0700 0000 0500 0800 0000 66dd 93d2 e208 2a00 0600 0400 0000 0000 0000
6a00 0000 0032 0001 0100 0006 0000 1500 0000 1f19 148d 8d51 2500 3a2f 1ad2 3611 0000 0000 0000 0001 0004 0000 001f 2700 0002 0015 0000 0013 a127 f304 aa48 00de f1a9 8315 f669 01a8 c0f6 1500 0400 0400 0000 0a00 0000 0500 0800 0000 66dd 93d2 e208 2a00 0600 0400 0000 0000 0000
6a00 0000 0032 0001 0100 0006 0000 1500 0000 2dbd 3a19 ceaf 3c00 3a2f 3a1f c259 0000 0000 0000 0001 0004 0000 001f 2700 0002 0015 0000 0013 a127 f304 aa48 00de f1a9 8315 f669 01a8 c0f6 1500 0400 0400 0000 0b00 0000 0500 0800 0000 66dd 93d2 e208 2a00 0600 0400 0000 0000 0000
6a00 0000 0032 0001 0100 0006 0000 1500 0000 5f1a 240f f69b 4800 3a2e 11eb af2f 0000 0000 0000 0001 0004 0000 001f 2700 0002 0015 0000 0013 a127 f304 aa48 00de f1a9 8315 f669 01a8 c0f6 1500 0400 0400 0000 0c00 0000 0500 0800 0000 66dd 93d2 e208 2a00 0600 0400 0000 0000 0000
6a00 0000 0032 0001 0100 0006 0000 1500 0000 e3b7 1835 967d 4800 dcaa 2b47 9b0f 0000 0000 0000 0001 0004 0000 001f 2700 0002 0015 0000 0013 a127 f304 aa48 00de f1a9 8315 f669 01a8 c0f6 1500 0400 0400 0000 0e00 0000 0500 0800 0000 66dd 93d2 e208 2a00 0600 0400 0000 0000 0000
6a00 0000 0032 0001 0100 0006 0000 1500 0000 3da3 27fb 05aa 4800 7ce4 3336 cd05 0000 0000 0000 0001 0004 0000 001f 2700 0002 0015 0000 0013 a127 f304 aa48 00de f1a9 8315 f669 01a8 c0f6 1500 0400 0400 0000 0f00 0000 0500 0800 0000 66dd 93d2 e208 2a00 0600 0400 0000 0000 0000
6a00 0000 0032 0001 0100 0006 0000 1500 0000 03a4 272e 06aa 4800 def1 be59 b3aa 0000 0000 0000 0001 0004 0000 001f 2700 0002 0015 0000 0013 a127 f304 aa48 00de f1a9 8315 f669 01a8 c0f6 1500 0400 0400 0000 1200 0000 0500 0800 0000 66dd 93d2 e208 2a00 0600 0400 0000 0000 0000
Jede Zeile entspricht dem Datenteil eines Pakets der selben Source IP.
Hat sowas noch jemand beobachtet oder weiß, um was es sich da handelt?
Oder Vermutungen, was dadurch bezweckt werden soll?
In den letzten zwei Monaten hat allein für diese Art Verbindungsversuche
die Firewall 15GB Logs weggeschrieben. Alle eingehenden Pakete werden ge-
blockt, ausgehende gibt es nicht.
Irgendeine Idee, irgend jemand, was das sein könnte?
Jürgen
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5277 bytes
Desc: not available
Url : http://lists.guug.de/pipermail/sage/attachments/20081219/97715132/attachment.bin
More information about the SAGE
mailing list