[sage] Rätselhafte UDP Verbindungsversuche

Juergen Kahnert Juergen.Kahnert at DESY.de
Mon Jan 5 17:54:47 CET 2009 

Hallo Wulf-Burkhard,

On Mon, Dec 22, 2008 at 07:23:11PM +0100, Wulf-Burkhard Goehmann wrote:
> auch wir (FU-Berlin) haben so eine IP-Adresse, die derartigen Traffic
> abbekommt. Bei uns ist das offenbar ein "Linksys Wireless print 
> server" ("connects to parallel- and USB-based printers"), der dabei 
> selber allerdings vollkommen passiv zu sein scheint.

habt ihr auch noch andere IPs, die derartige Pakete abbekommen? Uns ist
heute aufgefallen, dass wir noch viel mehr solcher Pakete erhalten, aber
in deutlich geringeren Mengen. Daher ist das bisher nicht aufgefallen.


> > Die Pakete ähneln sich und der Datenanteil sieht in etwa so aus:
> >     6a00 0000 0032 0001 0100 0006 0000 1500 0000 f74b 26f3 c59c 4800 7ce6 12d1 4007 0000 0000 0000 0001 0004 0000 001f 2700 0002 0015 0000 0013 a127 f304 aa48 00de f1a9 8315 f669 01a8 c0f6 1500 0400 0400 0000 0200 0000 0500 0800 0000 66dd 93d2 e208 2a00 0600 0400 0000 0000 0000
> 
> Bei uns ganz ähnlich. Hier sind mal einige Paare Quell-IP-Adressen und 
> der Datenanteil des zugehoerigen UDP-Pakets, aber aus dem variablen 
> Teil werde ich nicht schlau:

Wir werden auch schon aus dem festen Anteil nicht schlau. ;-)

Aber ein Teil der sich ändernden Daten ist die IP des Ziels in
umgekehrter Reihenfolge.


> Top-Zielports bei uns:
> Prot       Dst IP Addr:Port  Packets   Bytes Flows
> UDP  -> 160.45.xxx.yyy:62997  37.6 M   5.1 G 39437896
> UDP  -> 160.45.xxx.yyy:17537  276615  36.4 M 276615
> UDP  -> 160.45.xxx.yyy:13771  276393  36.4 M 276393
> [...]

Ja, das ist deutlich, bei uns sticht das ähnlich hervor. Obwohl das
jetzt nicht mehr so massiv auf eine IP ausgerichtet ist.

In der Tat ist das auch insgesamt weniger geworden, sodaß heute erstmals
die Anzahl der geblockten Pakete aus China wieder hinter denen aus den
USA zurückgefallen sind.

Mal abgesehen von den letzten drei Monaten waren die USA eigentlich
immer auf Platz 1 bei uns.


> Top-Quell-IPs bei uns:
> Proto   Src IP               Dst IP Addr:Port   Packets    Bytes Flows
> UDP  [221.0.46.98]     -> 160.45.xxx.yyy:62997   446840   58.8 M 446840
> UDP  [218.56.60.125]   -> 160.45.xxx.yyy:62997   324117   42.7 M 324117
> UDP  [124.135.222.198] -> 160.45.xxx.yyy:62997   284437   37.4 M 284437
> UDP  [218.56.200.23]   -> 160.45.xxx.yyy:13771   245529   32.3 M 245529
> UDP  [123.123.108.62]  -> 160.45.xxx.yyy:62997   233542   30.7 M 233542
> UDP  [124.132.225.33]  -> 160.45.xxx.yyy:32217   202548   26.7 M 202548
> UDP  [60.213.156.139]  -> 160.45.xxx.yyy:41498   194932   25.7 M 194932
> UDP  [60.212.9.2]      -> 160.45.xxx.yyy:62997   182618   24.0 M 182618

Alle aus China...


> Ich habe natürlich keine Ahnung, was das ganze soll, und wäre für
> Hinweise entsprechend dankbar...

Wir haben auch [noch] keine Idee und sind genauso dankbar für Hinweise
die zur Klärung der Sachlage beitragen.

    Jürgen


-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5277 bytes
Desc: not available
Url : http://lists.guug.de/pipermail/sage/attachments/20090105/f5886afb/attachment.bin

More information about the SAGE mailing list