[sage] Rätselhafte UDP Verbindungsversuche
Juergen Kahnert
Juergen.Kahnert at DESY.de
Sun Dec 21 07:58:53 CET 2008
Moin,
es gibt ein paar neue Erkenntnisse, die aber auch nicht mehr Licht in
die Sache bringen.
Der IP Adresse hatte ich einen neuen Namen verpaßt. Und den alten Namen
einer andere IP vergeben. Die neue IP mit altem Namen wird ignoriert. Es
hängt also nicht an einem generiertem Namen der verwendet wird, sondern
die Pakete gehen wirklich zu dieser IP.
Den DNS Namen habe ich am Freitag geändert, müßte sich also selbst mit
einer TTL von 86400 überall herumgesprochen haben. Dennoch, die Verbin-
dungen gehen weiterhin zu der ursprünglichen IP.
Noch besser, jetzt mit neuem Namen haben wir nicht mehr 1,5 Millionen
Verbindungsversuche pro Tag, sondern über 3 Millionen. Das Interesse hat
also nochmal zugenommen.
Mir wurden auch Ergebnisse eines nmap Scans zugeschickt. Zwei der sieben
IPs waren zu erreichen und es scheint sich um Windows Rechner zu handeln.
Übrigens wechselt der Source-Port mit jedem Paket. Er wird einfach hoch-
gezählt und liegt dicht beieinander, oft sogar unmittelbar, z.B.:
59.51.88.177:2870
59.51.88.177:2871
59.51.88.177:2872
59.51.88.177:2873
59.51.88.177:2874
59.51.88.177:2876
oder:
222.241.177.78:2471
222.241.177.78:2473
222.241.177.78:2474
222.241.177.78:2477
222.241.177.78:2479
222.241.177.78:2480
222.241.177.78:2482
222.241.177.78:2509
Und was die Theorie mit einem falsch konfiguriertem Router angeht. Würden
in diesem Fall nicht auch andere Verbindungen falsch geroutet werden?
Warum nur dieser eine Port?
Es bleibt weiterhin mysteriös...
Ich wünsche allen frohe Feiertage und einen guten Rutsch,
Jürgen
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5277 bytes
Desc: not available
Url : http://lists.guug.de/pipermail/sage/attachments/20081221/f1cecb28/attachment-0001.bin
More information about the SAGE
mailing list