Hallo,
beobachtet hier noch jemand größere Mengen eingehenden Verkehr auf Port 7/UDP (ja, der olle ECHO port) an seiner Firewall? Läuft da gerade eine neue Sauerei, oder sind das Geister der Vergangenheit?
Danke & Gruß
Fritze
auf Port 7/UDP (ja, der olle ECHO port) an seiner Firewall?
Jede Menge? Ein (1) einziges derartiges Vorkommnis in den vergangenen acht Tagen. Von einer IP-Adresse, die in den Logs sonst nicht wieder auftaucht.
Gruß
auf Port 7/UDP (ja, der olle ECHO port) an seiner Firewall?
Jede Menge? Ein (1) einziges derartiges Vorkommnis in den
vergangenen acht Tagen. Von einer IP-Adresse, die in den Logs
sonst nicht wieder auftaucht.
Um was für eine Installation handelt es sich denn da? Kleine Firewall im Router zu Hause oder sowas in die Richtung Checkpoint Cluster? Ich habe den Eindruck, es könnte was mit BIND zu tun haben, die Anfragen gingen alle in Richtung DNS Server und kamen aus den unterschiedlichsten Netzen. Eher so ein paar hundert Anfragen pro Stunde. Also keine DDOS Attacke, aber deutlich zu sehen. Anfragen auf Port 7 waren so selten, dass die auffallen wie bunte Hunde.
Gruß
Fritze
Um was für eine Installation handelt es sich denn da? Kleine
Firewall im Router zu Hause oder sowas in die Richtung
Checkpoint Cluster? Ich habe den Eindruck, es könnte was mit
BIND zu tun haben,
Im oberen Bereich dazwischen. Allerdings betreibe ich keinen öffentlich erreichbaren DNS-Dienst.
Gruß
Also es gibt Programme die in regelmäßigen Abständen die Verfügbarkeit von anderen Computern überprüfen. Dies kann man beispielsweise über den Ping realisieren. In größeren Installationen können das schon mal ein paar hundert oder tausend pro Stunde sein. Je nach Konfiguration und größe des Netztes.
Log doch einfach mal die IP-Adressen mit und guck wer da pingt. Wenn es viele verschiedene sind die immer wieder wechseln ist es schon verdächtig. Wenn es jedoch immer die 10 gleichen PCs sind aus ner anderen Abteilung zum Beispiel einfach mal den Admin der Abteilung fragen was für Programme auf diesen PCs/Servern laufen. Dann kann man entscheiden ob es mehr oder weniger Sinn macht.
Prinzipiell ist ein Ping nichts gefährliches(ganz weit früher gab es ma einen bug der denn ping of death ermöglichte, der ist heute aber vor vielen Jahren behoben worden). Und da es sich offensichtlich nicht um eine DoS Attacke handelt wird das irgendwo Sinn haben, fragt sich halt nur welcher.
Ich vergaß: Wenn Du ne Privatperson bist ist das höchst verdächtig. Vielleicht benutzt Du ja ein Programm dass ne Internetverbindung aufbaut und die Gegenstelle prüft regelmäßig ob Du noch da bist. WoW torrent-programme VPN-Verbindungen etc…
Schalte einfach mal Programme ab und guck nach nach ob dann immer noch solche Logeinträge auftauchen.
Nee, ist schon ne Installation in einem größeren Unternehmen. Die Anfragen kommen von extern, also keine andere Abteilung etc., und aus verschiedenen Providernetzen in den USA.
Es handelt sich dabei ja auch nicht um den gebräuchlichen ICMP Echo Request, sondern um die steinalte UDP Port 7 Echo Funktion, die meines Wissens einfach alles, was man dort hin geschickt hat, zurückgeworfen hat, zum Testen von Verbindungen. Dass das heute noch produktiv für diesen Zweck in Gebrauch sein soll, und dann noch über das Internet, das wäre mir neu.
Gruß
Fritze
Es handelt sich dabei ja auch nicht um den gebräuchlichen ICMP
Echo Request, sondern um die steinalte UDP Port 7 Echo
In Perl erzeugt net:
ing, sofern im Konstruktor nicht explizit anders angegeben, einen Echo request auf 7 TCP. Der Overhead dabei ist höher als bei ICMP oder UDP requests. Ein ICMP echo request jedoch erfordert root-Rechte, somit denkbar, dass ein Programmierer einen UDP-Ping als scheinbar goldenen Mittelweg gewählt hat.
http://perldoc.perl.org/Net/Ping.html
Gruß
1 Like
Danke für den interessanten Hinweis auf Perl. Das war mir nicht bekannt. Ob es daran liegt, lässt sich freilich nicht feststellen.
Fakt ist, es gibt immer noch bergeweise Logeinträge von eingehenden Paketen auf 7/UDP.
Gruß
Fritze