Ankündigung

Einklappen
Keine Ankündigung bisher.

Seltsame Angriffe auf Port 10392 eines upc cablecom Anschlusses

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • #1

    Problem: Seltsame Angriffe auf Port 10392 eines upc cablecom Anschlusses

    Hallo miteinander,

    seit längerer Zeit registriere ich bei einer Familie mit 6 Rechnern seltsame Angriffe auf den Port 10392. Die Angriffe werden auf einer Zywall USG20 registriert, welche die sechs PCs mittels NAT ins Internet verbinden.

    Heute Nacht wurden zwischen 03:50 und 04:10 innert 20 Minuten ca. 500 geblockte Anfragen auf diesen Port geloggt. Pro Tag sind es durchschnittlich ca. 20'000 solcher Anfragen - alle auf den Port 10392!

    Die Herkunft der Top-IP-Source-Adressen:

    Code:
    United States       95 Einträge
Russian Federation  36 Einträge
Canada              24 Einträge
Australia           16 Einträge
United Kingdom      16 Einträge
Korea Republic Of   15 Einträge
France              12 Einträge
China               11 Einträge
Brazil              10 Einträge
Japan	            10 Einträge
    Stichprobenartige Tests der Herkunftsadressen zeigen auf, dass die Angriffe nicht von fix zugeteilten IP-Adressen sondern von dynamischen Einwahlanschlüssen kommen (in DE z.B. von arcor-ip.net, t-dialin.net, superkabel.de, vodafone.de etc.).

    Diese Anfragen haben ziemlich schlagartig begonnen und treten nicht dauernd auf. Zwischen 06:00 Uhr und 10:00 Uhr ist meistens Ruhe.

    Kennt jemand ähnliche Angriffe oder kann mir jemand mitteilen, was es mit diesem Port 10392 auf sich hat?

    Besten Dank für etwelche Tipps und einen schönen Gruss

    Beat
    CNE 6.5, LPIC-1, Novell CLP,
    Master of Advanced Studies in Information Security
    Stichworte: -
  • #2
    AW: Seltsame Angriffe auf Port 10392 eines upc cablecom Anschlusses

    Der Port gehört zu keinem speziellen Dienst. Aber lass doch mal ein Sniffer ala Wireshark laufen während eines Angriffes und schau nach, was der so wissen will und über welche Protokolle.
    Ausserdem, solange die Firewall das ganze registriert, blockt sie es wahrscheinlich auch oder? Dann hast du auch nichts zu befürchten.
    hacking is not a crime, it's a passion
    Mehr von mir unter blog.encodingit.ch

    Kommentar

    • #3
      Re: Seltsame Angriffe auf Port 10392 eines upc cablecom Anschlusses

      Hallo
      Zitat von compr00t Beitrag anzeigen
      Der Port gehört zu keinem speziellen Dienst. Aber lass doch mal ein Sniffer ala Wireshark laufen während eines Angriffes und schau nach, was der so wissen will und über welche Protokolle.
      Ausserdem, solange die Firewall das ganze registriert, blockt sie es wahrscheinlich auch oder? Dann hast du auch nichts zu befürchten.
      danke für deine Antwort. Richtig, die Angriffe werden geblockt. Da diese Angriffe von tausenden verschiedenen IP-Adressen kommen, muss ein riesiges Netzwerk verseuchter Rechner dahinter stecken. Mich nimmt es einfach Wunder, was da tatsächlich dahinter steckt.
      Da ich aufgrund grosser Distanz keinen physischen Zugang zu diesem Netzwerk habe, werde ich bei meinem nächsten Besuch eine Linuxbox ins Netzwerk stellen, den entsprechenden Verkehr auf diese Box leiten und auswerten. Hoffe der Traffic bricht bis dahin nicht ab, denn momentan ist wieder seit 05:20 Uhr Ruhe! Bin gespannt, was da raus kommt und wie das weiter geht.

      Gruss

      Beat
      CNE 6.5, LPIC-1, Novell CLP,
      Master of Advanced Studies in Information Security

      Kommentar

      • #4
        Re: Seltsame Angriffe auf Port 10392 eines upc cablecom Anschlusses

        Problem gelöst! Was Angriffe? Jemand dieser sechsköpfigen Familie hantiert mit einem BitTorrent-Client und zieht dadurch natürlich das Interesse von tausenden Peers an, super!
        Aber auf mein vorgängiges Nachfragen, ob jemand etwas Neues auf dem Rechner installiert hat, wurde beteuert, dass nichts verändert worden ist. Tja, das bekannte: "Ich habe nichts gemacht!".

        Anyway, hier ist noch der Data-Teil des entsprechenden UDP-Pakets, welcher als BitTorrent-Traffic identifiziert werden kann.
        Code:
        0000   64 31 3a 61 64 32 3a 69 64 32 30 3a 97 6b 19 1a  d1:ad2:id20:.k..
0010   88 f5 36 d9 8b 39 1f 73 62 c6 79 83 eb 78 8f 70  ..6..9.sb.y..x.p
0020   36 3a 74 61 72 67 65 74 32 30 3a 97 6a 7c 36 df  6:target20:.j|6.
0030   92 a3 e8 85 11 dc b4 07 bb 1e 0a e4 23 42 58 65  ............#BXe
0040   31 3a 71 39 3a 66 69 6e 64 5f 6e 6f 64 65 31 3a  1:q9:find_node1:
0050   74 34 3a 12 55 99 b1 31 3a 76 34 3a 55 54 5c 97  t4:.U..1:v4:UT\.
0060   31 3a 79 31 3a 71 65                             1:y1:qe
        Einen schönen Gruss

        Beat
        CNE 6.5, LPIC-1, Novell CLP,
        Master of Advanced Studies in Information Security

        Kommentar

        Vorherige template Weiter
        Lädt...
        X

        Wir verarbeiten personenbezogene Daten über Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen, Werbung zu personalisieren und Websiteaktivitäten zu analysieren. Wir können bestimmte Informationen über unsere Nutzer mit unseren Werbe- und Analysepartnern teilen. Weitere Einzelheiten finden Sie in unserer Datenschutzrichtlinie.

        Wenn Sie unten auf "Einverstanden" klicken, stimmen Sie unserer Datenschutzrichtlinie und unseren Datenverarbeitungs- und Cookie-Praktiken wie dort beschrieben zu. Sie erkennen außerdem an, dass dieses Forum möglicherweise außerhalb Ihres Landes gehostet wird und Sie der Erhebung, Speicherung und Verarbeitung Ihrer Daten in dem Land, in dem dieses Forum gehostet wird, zustimmen.

        Einverstanden