[sage] Rätselhafte UDP Verbindungsversuche

Juergen Kahnert Juergen.Kahnert at DESY.de
Mon Jan 12 16:22:18 CET 2009


Moin,

falls es noch jemanden interessiert... ;)

Wir haben ein paar Auswertungen vorgenommen. Dabei kam raus, dass der
bei weitem größte Teil dieser Pakete von CHINANET (China Telecom)
insbesondere aus der Hunan Provinz stammt. Der zweite größere Block
gehört dem CNCGROUP aus der HuBei Provinz, wobei die GeoLite City Daten
von MaxMind (http://maxmind.com/) diese Peking zuordnet.

Die zeitliche Verteilung der Pakete zeigt eine erhöhte Aktivität
zwischen 16:00 und 24:00 Uhr (China Ortszeit). Bis 6:00 Uhr ist es dann
am geringsten, wird dann wieder was mehr, um zwischen 12:00 bis 13:00
Uhr leicht einzubrechen, danach wieder steigt, um etwa bei 16:00 Uhr
wieder einzubrechen, bevor es dann deutlich mehr wird.

Das würde dann ein Muster der Arbeitszeit (inklusive Mittagspause) und
anschließende Aktivität nach der Arbeitszeit ergeben.

Die Pakete an sich variieren je nach Absender und Empfänger. Wobei die
Pakete eines Absenders zum selben Empfänger immer gleich aussehen, es
wird also ein Paket immer wieder verschickt, bis die Versuche aufhören.

Wer auf dem WAN Interface eines größeren Netzes sniffen kann, der kann
mal folgendes ausprobieren:

    # tcpdump -i ethX -s 60 -x -n -l udp | grep -A 3 "\<length 110\>" | grep -B 3 "0x0020:  0032 0001 0100 0006 0000 1500 0000" | grep "\<length 110\>"

Das müßte dann diese chinesischen Pakete mit einfachen Mitteln ent-
decken, falls welche ankommen (Interface Angabe anpassen und ggf. den
Output von tcpdump prüfen, ob die Leerzeichen passen).

Der Zielport scheint beliebig (> 1023) zu sein und der Empfänger scheint
auch nur zufällig gewählt zu werden. Jedenfalls hat es nichts damit zu
tun, ob hinter einer IP auch ein Gerät hängt oder nicht.

Bei uns sticht jetzt nur noch selten eine IP extrem hervor, das verteilt
sich nun auf viele Empfänger, aber es hat immer noch nicht aufgehört.

Und eine Antwort darauf, um was es sich handelt, haben wir immer noch
nicht.

    Jürgen


-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5277 bytes
Desc: not available
Url : http://lists.guug.de/pipermail/sage/attachments/20090112/6e365930/attachment.bin 


More information about the SAGE mailing list