PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Problem: Seltsame Angriffe auf Port 10392 eines upc cablecom Anschlusses



beat_lu
24.10.2011, 09:01
Hallo miteinander,

seit längerer Zeit registriere ich bei einer Familie mit 6 Rechnern seltsame Angriffe auf den Port 10392. Die Angriffe werden auf einer Zywall USG20 registriert, welche die sechs PCs mittels NAT ins Internet verbinden.

Heute Nacht wurden zwischen 03:50 und 04:10 innert 20 Minuten ca. 500 geblockte Anfragen auf diesen Port geloggt. Pro Tag sind es durchschnittlich ca. 20'000 solcher Anfragen - alle auf den Port 10392!

Die Herkunft der Top-IP-Source-Adressen:


United States 95 Einträge
Russian Federation 36 Einträge
Canada 24 Einträge
Australia 16 Einträge
United Kingdom 16 Einträge
Korea Republic Of 15 Einträge
France 12 Einträge
China 11 Einträge
Brazil 10 Einträge
Japan 10 EinträgeStichprobenartige Tests der Herkunftsadressen zeigen auf, dass die Angriffe nicht von fix zugeteilten IP-Adressen sondern von dynamischen Einwahlanschlüssen kommen (in DE z.B. von arcor-ip.net, t-dialin.net, superkabel.de, vodafone.de etc.).

Diese Anfragen haben ziemlich schlagartig begonnen und treten nicht dauernd auf. Zwischen 06:00 Uhr und 10:00 Uhr ist meistens Ruhe.

Kennt jemand ähnliche Angriffe oder kann mir jemand mitteilen, was es mit diesem Port 10392 auf sich hat?

Besten Dank für etwelche Tipps und einen schönen Gruss

Beat

compr00t
24.10.2011, 10:58
Der Port gehört zu keinem speziellen Dienst. Aber lass doch mal ein Sniffer ala Wireshark laufen während eines Angriffes und schau nach, was der so wissen will und über welche Protokolle.
Ausserdem, solange die Firewall das ganze registriert, blockt sie es wahrscheinlich auch oder? Dann hast du auch nichts zu befürchten.

beat_lu
24.10.2011, 11:41
Hallo

Der Port gehört zu keinem speziellen Dienst. Aber lass doch mal ein Sniffer ala Wireshark laufen während eines Angriffes und schau nach, was der so wissen will und über welche Protokolle.
Ausserdem, solange die Firewall das ganze registriert, blockt sie es wahrscheinlich auch oder? Dann hast du auch nichts zu befürchten.
danke für deine Antwort. Richtig, die Angriffe werden geblockt. Da diese Angriffe von tausenden verschiedenen IP-Adressen kommen, muss ein riesiges Netzwerk verseuchter Rechner dahinter stecken. Mich nimmt es einfach Wunder, was da tatsächlich dahinter steckt.
Da ich aufgrund grosser Distanz keinen physischen Zugang zu diesem Netzwerk habe, werde ich bei meinem nächsten Besuch eine Linuxbox ins Netzwerk stellen, den entsprechenden Verkehr auf diese Box leiten und auswerten. Hoffe der Traffic bricht bis dahin nicht ab, denn momentan ist wieder seit 05:20 Uhr Ruhe! Bin gespannt, was da raus kommt und wie das weiter geht.

Gruss

Beat

beat_lu
25.10.2011, 07:55
Problem gelöst! Was Angriffe? Jemand dieser sechsköpfigen Familie hantiert mit einem BitTorrent-Client und zieht dadurch natürlich das Interesse von tausenden Peers an, super!
Aber auf mein vorgängiges Nachfragen, ob jemand etwas Neues auf dem Rechner installiert hat, wurde beteuert, dass nichts verändert worden ist. Tja, das bekannte: "Ich habe nichts gemacht!".

Anyway, hier ist noch der Data-Teil des entsprechenden UDP-Pakets, welcher als BitTorrent-Traffic identifiziert werden kann.
0000 64 31 3a 61 64 32 3a 69 64 32 30 3a 97 6b 19 1a d1:ad2:id20:.k..
0010 88 f5 36 d9 8b 39 1f 73 62 c6 79 83 eb 78 8f 70 ..6..9.sb.y..x.p
0020 36 3a 74 61 72 67 65 74 32 30 3a 97 6a 7c 36 df 6:target20:.j|6.
0030 92 a3 e8 85 11 dc b4 07 bb 1e 0a e4 23 42 58 65 ............#BXe
0040 31 3a 71 39 3a 66 69 6e 64 5f 6e 6f 64 65 31 3a 1:q9:find_node1:
0050 74 34 3a 12 55 99 b1 31 3a 76 34 3a 55 54 5c 97 t4:.U..1:v4:UT\.
0060 31 3a 79 31 3a 71 65 1:y1:qe

Einen schönen Gruss

Beat