[sage] Rätselhafte UDP Verbindungsversuche

Juergen Kahnert Juergen.Kahnert at DESY.de
Sat Dec 20 09:21:09 CET 2008 

On Fri, Dec 19, 2008 at 09:25:27PM +0100, Florian Streibelt wrote:
> Mal ne dumme Idee: Da hat jemand ein Programm oder eine Hardware
> entwickelt und nen Zahlendreher drin, so dass dieses Tool mit Euch
> Kontakt aufnimmt?

Dumme Ideen gibt es in dem Zusammenhang nicht. Ja, wäre denkbar. Nur
würde ich erwarten, dass jemand mit so einem Programm was bezwecken
möchte. Und dieser Zweck ist mit unserer IP nicht gegeben.

In so einer Situation wäre meine natürliche Reaktion die Configs zu
prüfen, anstatt den Traffic über Monate zu erhöhen...

Es paßt irgendwie nicht mit der Tatsache, dass uns die Kiste schon im
Februar aufgefallen ist und es immer mehr Pakete wurden. Auch mal wieder
weniger, aber die Tendenz ging ganz klar nach oben.


> Ich würde mich evtl. mal auf die Lauer legen und einen portscan auf
> den Absender machen, sobald solche Pakete kommen und ein whois auf die
> IP des Absenders (evtl. automatisiert?)

Also beim Portscan sind wir wie gesagt etwas vorsichtiger. Was die whois
Anfrage angeht, so ist die wenig erhellend für eine Auswahl an IPs, mal
abgesehen von der Tatsache, dass sie alle aus China stammen. Hier mal
ein winziger Auszug aus den IP Adressen:

    58.19.71.161       CNCGROUP HuBei Province Network
    59.51.20.203       CHINANET Hunan province network
    117.127.110.6      China Cable Television Network Co.,LTD
    118.126.94.136     Shanghai Geis Technology Co.,Ltd.
    118.147.199.226    Beijing Bitone United Networks
    119.3.1.4          Qianshan Shangwei Industry
    220.168.226.107    CHINANET-HN changde node network


> Vielleicht erkennt man da Gemeinsamkeiten.

Ich nicht, Du?


> Die Pakete haben jedenfalls eine sehr nette regelmässige Struktur.

Ja, in der Tat. Aber ich kann es keinem Protokoll zuordnen oder sonstwie
einordnen.


> Vielleicht ist es auch einfach eine Fehlfunktion oder Fehlkonfiguration auf
> einem Router, der Pakete an Eure IP umschreibt, weil sich da jemand vertan
> hat :(

Ich kenne die Netzwerkinfrastruktur in China nicht. Was aber die im
whois angegebenen Provinzen angeht, so liegen die teilweise tausende
Kilometer auseinander.

Also ein Router für alle diese Netze, wäre wohl was wenig. Und auch dem
DFN-Cert ist in ihrem Darknet schon seit längerem die ungewöhnliche Häufung
der UDP Pakete auf Port 62997 aufgefallen. Ein IP Vergleich von uns aus
neun Tagen mit deren IPs ergab gerade mal eine einzige Übereinstimmung.


> Oder ein missglücktes ddos...

Mit DoS Angriffen haben wir es bei uns eher nicht zu tun. Davon mal
abgesehen sind 1,5 Millionen Pakete pro Tag weit davon entfernt bei uns
auf dem Netz auch nur einen Peak zu hinterlassen...

    Jürgen


-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5277 bytes
Desc: not available
Url : http://lists.guug.de/pipermail/sage/attachments/20081220/5a236400/attachment.bin

More information about the SAGE mailing list