Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Für alle, die bei der Sichtung von Firewall-Logs schnell Panik schieben

Mitglied: LordGurke

LordGurke (Level 3) - Jetzt verbinden

22.10.2015 um 23:15 Uhr, 5154 Aufrufe, 16 Kommentare, 14 Danke

Immer wieder sehe ich Fragen, in denen Leute in ihre Firewall-Logs schauen und irgendwo zwischen Panik und Herzinfarkt fragen, wie es sein kann dass die ganze Welt sie hacken will.
Und denen man dann immer wieder die Antwort gibt: "Willkommen im Internet, das ist das Grundrauschen, gewöhn' dich dran!".

Was ist dieses Grundrauschen eigentlich?
Nun... Ich (resp. mein Arbeitgeber) hat aus dem letzten Pool vor kurzem eine IP-Allocation vom RIPE bekommen. Das heißt, wir haben jetzt 1024 IPv4-Adressen bekommen die zuletzt 2009 im Internet geroutet wurden - also seit ca. 6 Jahren nicht mehr genutzt wurden.

Diese IP-Adressen habe ich jetzt also mal in unseren Router geworfen, BGP angeknipst und mit tcpdump geschaut, ob da was kommt.
Und da kommt erstaunlich viel:

Nur noch einmal zur Erinnerung: Dieses Netz ist keine 10 Minuten im Internet geroutet (und das noch nichtmal vollständig*) und es gibt - zumindest bei uns - kein System was eine IP-Adresse aus diesem Präfix hat und Traffic verursachen könnte. Das, was man da sieht ist zu 100% Internet-Grundrauschen.
Man beachte bitte auch den Timestamp am Anfang der Zeile - wir reden da zwar nicht von gewaltigen Paketraten und die bezieht sich auch auf 1024 IP-Adressen. Umgerechnet sind das nur ein paar Pakete pro Minute pro IP.
Würde ich da jetzt aber jedes Mal davon ausgehen dass es da jemand auf mich abgesehen hat, hätte ich jetzt bereits Burnout.
Das, was man hier sieht, sind praktisch nur Portscans - meistens mit dem Zweck offene Dienste zu finden die sich für Attacken eignen. Das passiert vollkommen automatisiert von infizierten Systemen aus die Teil eines Botnets sind. Diese Scans haben in der Regel auch nur das Ziel, andere infizierte Systeme zu finden oder über die Ausnutzung von Schwachstellen zu infizieren. Jeder NAT-Router hält derartige Anfragen zurück

Was dabei übrigens auffällt: Ich bekomme unter anderem auch ein paar TCP-SYN-Pakete, TCP-RST, DNS-Antworten und ICMP-Nachrichten. All diese Pakete würden jedoch voraussetzen, dass irgendwer mit dieser Source-IP im Internet unterwegs ist - was ich für unser Netz definitiv ausschließen kann. Diese Pakete belegen also, dass da draußen im Internet Source-IPs für DDoS-Attacken gefälscht werden dass es nicht mehr feierlich ist (was auch kein großes Geheimnis mehr ist).

Nur, falls sich nochmal jemand fragt, was man sich denn so unter "Grundrauschen" vorzustellen hat

  • Stand jetzt ist das Netz nur aus ca. 70% des Internets erreichbar. Bei den restlichen 30% hängen Carrier dazwischen die noch ihre Routing-Filter-Listen aktualisieren müssen und die Routen so lange nicht importieren.
Mitglied: kaiand1
23.10.2015 um 09:11 Uhr
Hast du ne Auswertung mal gemacht woher die IPs kommen bzw die Anfragen/Antworten zu euren IPs ?
Welches Land da am meisten "Böse" ist `?
Bitte warten ..
Mitglied: Aicher1998
23.10.2015 um 10:40 Uhr
Zitat von kaiand1:

Hast du ne Auswertung mal gemacht woher die IPs kommen bzw die Anfragen/Antworten zu euren IPs ?
Welches Land da am meisten "Böse" ist `?
Ich schätze mal Indien und Russland
Bitte warten ..
Mitglied: TlBERlUS
23.10.2015 um 10:52 Uhr
Zitat von Aicher1998:

Zitat von kaiand1:

Hast du ne Auswertung mal gemacht woher die IPs kommen bzw die Anfragen/Antworten zu euren IPs ?
Welches Land da am meisten "Böse" ist `?
Ich schätze mal Indien und Russland
Was ist mit China?
Bitte warten ..
Mitglied: Aicher1998
23.10.2015 um 11:51 Uhr
Zitat von TlBERlUS:

Zitat von Aicher1998:

Zitat von kaiand1:

Hast du ne Auswertung mal gemacht woher die IPs kommen bzw die Anfragen/Antworten zu euren IPs ?
Welches Land da am meisten "Böse" ist `?
Ich schätze mal Indien und Russland
Was ist mit China?
Und Indonesien...
Deutschalnd ist aber auch sehr oft involviert, siehe http://map.norsecorp.com/
Bitte warten ..
Mitglied: LordGurke
23.10.2015 um 12:26 Uhr
Zitat von kaiand1:

Hast du ne Auswertung mal gemacht woher die IPs kommen bzw die Anfragen/Antworten zu euren IPs ?
Welches Land da am meisten "Böse" ist `?

Noch nicht, ich lasse mir das aber gerade alles in eine Datei capturen - vielleicht erhalte ich über 24h hinweg auch realistischere Daten. Wenn das infizierte Rechner sind, bin ich dann einmal durch jede Zeitzone durchgelaufen
Bitte warten ..
Mitglied: kaiand1
23.10.2015 um 12:46 Uhr
Und dann die Serverinhaber einzelnd Anrufen bzw Persöhnlich Besuchen gehen xD
Bitte warten ..
Mitglied: LordGurke
23.10.2015 um 12:46 Uhr
Klar, gerne. Du fährst mich dann
Bitte warten ..
Mitglied: Aicher1998
23.10.2015 um 13:12 Uhr
Zitat von kaiand1:

Und dann die Serverinhaber einzelnd Anrufen bzw Persöhnlich Besuchen gehen xD
"Guten Tag, ich bin von administrator.de, können Sie mir bitte mal eben Rootzugriff auf Ihre Server geben, ich glaub die sind infiziert"
so in etwa?
Bitte warten ..
Mitglied: kaiand1
23.10.2015 um 16:43 Uhr
Eher anders..
Erst geht es nach Ikea das Modell Kloppe holen
http://data.lustich.de/bilder/l/29151-ikea-kloppe.jpg
(Quelle http://lustich.de/bilder/werbung/ikea-kloppe/)

Dann geht es zum Serverinhaber um ihm mal die Meinung über die dauernden Serveranfragen Aufzuklären ;)
Bitte warten ..
Mitglied: LordGurke
23.10.2015, aktualisiert um 21:51 Uhr
Kurzes Zwischenupdate:

Nach ziemlich genau acht Stunden sieht die Verteilung der Source-IPs nun so aus:
3da05b93685d413b62068524f182e6b4 - Klicke auf das Bild, um es zu vergrößern

Nach absoluten Paketzahlen einzelner IP-Adressen ergibt sich die Platzierung:

  • China (1869p)
  • Argentinien (1743p)
  • China (1625p)
  • Israel (1535p)
  • Brasilien (1024p)

Nach Scans, die aus kompletten Subnetzen heraus gefeuert wurden ergibt sich die Platzierung:

  • 141.212.121.0/23 (USA)
  • 216.218.206.0/24 (USA)
  • 64.125.239.0/24 (USA)
  • 74.82.47.0/24 (USA)

Martian Packets gibt es auch (habe dem Router mal gesagt, er soll aufhören zu filtern) - Platzierung nach Häufigkeit:

  • 10.0.0.0/8 (8p)
  • 172.16.0.0/12 (6p)
  • 192.168.0.0/16 (5p)
  • 127.0.0.0/8 (1p)


TOP 5 angefragte Ziel-Ports TCP:

  • 1 Telnet (sehr agressiv mit stark variierender TTL)
  • 2 SMB (Port 445 + 137 zusammengefasst)
  • 3 HTTP
  • 4 FTP
  • 5 SSH

Daneben gab es noch eine bemerkenswert hohe Anzahl an Anfragen auf die Ports 3389 (Windows-RDP), 5900 (VNC), POP3, MySQL und gegen Port 112 - letzteres wurde ausschließlich von einem Host aus China durch das ganze Netzwerk gefragt.


TOP 5 angefragte Ziel-Ports UDP:

  • 1a: NTP (Port 123)
  • 1b: SIP (Port 5060)
  • 2: Source-DS (Port 27015)
  • 3: ECHO (Port 7)
  • 4a: "Quote of the day" (Port 17)
  • 4b: DNS-Request (Port 53)
  • 5: Chargen (Port 19)

Daneben gab es bemerkenswert viele Anfragen gegen Port 161 (SNMP), 111 (sunrpc) - und DNS-Antworten von Port 53/UDP kommend gegen zufällige Upper-Ports in "meinem" Netz.
Bitte warten ..
Mitglied: kaiand1
23.10.2015, aktualisiert 24.10.2015
Hmm

Nach absoluten Paketzahlen einzelner IP-Adressen ergibt sich die Platzierung:
China (1869p)
Argentinien (1743p)
China (1625p)
Israel (1535p)
Brasilien (1024p)

Platz 1 & 3 geht nach China xD

Aber das Samba auf Platz 2 gelandet ist wundert mich doch..
gibts doch soviele die das Freigeben im Netz?...
Bitte warten ..
Mitglied: LordGurke
24.10.2015 um 01:27 Uhr
Bin gerade durch ein zufälliges Kundennetz von uns gelaufen und habe daraus ein /24-Subnetz auf Port 137 und 445 abgeklopft.
Ergebnis: Von 116 vorhandenen Hosts haben 6 diese Ports geöffnet. Scheint sich also tatsächlich zu lohnen...
Bitte warten ..
Mitglied: PPR-Dev
24.10.2015 um 10:19 Uhr
Hi

Interessante Geschichte, das erste Subnetz stammt übrigens von einer Universität.. (researchscan001.eecs.umich.edu)
Interessant finde ich auch wie schnell das ganze geht:/, jetzt weis ich definitiv warum sich ne gescheite Firewall lohnt.

Mit welchem Tool hast du die Karte erstellt?

LG PPR
Bitte warten ..
Mitglied: LordGurke
24.10.2015, aktualisiert um 14:25 Uhr
Zitat von PPR-Dev:
Interessant finde ich auch wie schnell das ganze geht:/, jetzt weis ich definitiv warum sich ne gescheite Firewall lohnt.

Wie oben schon geschrieben: NAT reicht dagegen (für normale DSL-Zugänge) schon aus.
Aber generell ist es in der Tat besser nicht den allerbilligsten Plasterouter zu nehmen, der dann selbst offene Ports ins Internet hält...
Für Server lohnt es sich in der Tat, da eine Firewall vorzubauen - wobei vieles von dem was man da sieht auch per Software-Firewall einfach zurückgehalten wird.

Mit welchem Tool hast du die Karte erstellt?

Wireshark kann das selbst, wenn man ihm vorher GeoIP-Datenbanken gibt.
Bitte warten ..
Mitglied: LordGurke
24.10.2015 um 14:40 Uhr
Es gibt ein Update zu diesem Update:

Nach nunmehr ziemlich genau 24 Stunden sieht die Verteilung nun so aus:
d21b6f773b6c267bd9a854022f83d33b - Klicke auf das Bild, um es zu vergrößern

Die Platzierung der IP-Adressen nach Paketzahlen erfährt ebenfalls eine Änderung:

  • China (5229p)
  • USA (2560p)
  • Russland (1892p)
  • China (1869p)
  • Argentinien (1743p)

Bei China und Argentinien sind es die exakt selben IP-Adressen wie vorher, nur halt mit inzwischen mehr Paketen.
Auf Platz 31 dann übrigens eine IP-Adresse von KabelBW in Deutschland.


An den restlichen Platzierungen hat sich so kaum was verändert - außer dass gefühlt inzwischen jeder Port auf jeder IP einmal abgeklopft wurde...
Bitte warten ..
Mitglied: DennisGrenda
26.10.2015 um 07:31 Uhr
Moin!

Mal ein Lob für diese Mühe und die Einblicke! Wirklich interessant mal solche Auswertungen zu sehen!
Euch allen noch einen schönen Tag!

Liebe Grüße, Dennis
Bitte warten ..
Ähnliche Inhalte
Windows Tools

Zeit für Energiesparmodus, Bildschirmabschaltung etc. schnell anpassen

Anleitung von hannsgmaulwurfWindows Tools

Hallo, ich war auf der Suche nach einem Skript, welches mir erlaubt, den Energiesparmodus eines Windows Rechners auf die ...

Windows Server

Scheduled Task zum Log - Löschen direkt aus der SCOM Console

Tipp von JuanitoWindows Server

SCOM Agent Task - Create Log Deletion Job Einleitung: Viele Applikationen und Dienste die auf Servern laufen erstellen Log ...

Instant Messaging

Die Kommunikations-App Zoom kommt aus der Kritik so schnell nicht mehr raus

Information von FrankInstant Messaging6 Kommentare

Ich würde Zoom ja gerne nutzen (das Featureset ist ziemlich gut) aber irgendwie hinterlassen die ganzen Nachrichten einen faden ...

Netzwerke

IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Anleitung von aquiNetzwerke76 Kommentare

Allgemeine Einleitung Das folgende Tutorial beschreibt die VPN Anbindung von mobilen Benutzern mit Windows 10, Mac OS, Linux sowie ...

Neue Wissensbeiträge
Instant Messaging
Jitsi Meet - April Update verfügbar
Information von Frank vor 1 StundeInstant Messaging2 Kommentare

Im Rahmen des April-Updates erhält Jitsi Meet mehrere interessante Features. Anwender können nun nicht mehr nur ihren Bildschirm, sondern ...

Rechtliche Fragen

Rechtliche Grundlagen: Datenschutz und Datensicherheit im Homeoffice

Information von AnkhMorpork vor 21 StundenRechtliche Fragen

Sollte bekannt sein, aber

Router & Routing
"Upgrade" Fritte 7520 zu Fritte 7530 :-)
Information von Lochkartenstanzer vor 1 TagRouter & Routing6 Kommentare

Moin, wie sich herausgestellt hat, ist die 7520 eine per Software kastrierte Version der 7530. Per "Chiptuning", um es ...

Informationsdienste

RKI - Corona-Datenspende App zur Erfassung von Informationen und Ausbreitung des Coronavirus (SARS-CoV-2) in Deutschland

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Das Robert Koch-Institut stellt ab sofort eine App zur Verfügung, die ergänzende Informationen dazu liefern soll, wo und wie ...

Heiß diskutierte Inhalte
Rechtliche Fragen
Nachweispflicht für Status-Emails?
Frage von VincentGdGRechtliche Fragen36 Kommentare

Moin. Mein Kollege und Datenschutzbeauftragter erfreut mich täglich mit neuen Auslegungen. Heute erklärt er mir, wir müssen die Status-Emails, ...

Server-Hardware
Wie viel Speicher braucht eine Wissensdatenbank für bis zu 50 User?
Frage von Mrhallo19981Server-Hardware26 Kommentare

Hallo, könnt ihr mir sagen wieviel Speicherplatz eine Wissensdatenbank braucht (die physikalisch speichert, also nicht mit einer Datenbank zusammen) ...

Linux
Internetprobleme mit Wine für Linux um .exe Dateien auszuführen
Frage von WinLiCLILinux22 Kommentare

Hallo zusammen, ich möchte auf meinem debian 10 einen client für cloud-telefonie (cloud pbx) installieren, den es nur für ...

Ubuntu
Suche nach einer Moeglichkeit im AWK oder cut die Inhalte von einer bestimmten Spalte bis Zeilenende anzeigen zu lassen
gelöst Frage von takitanoUbuntu18 Kommentare

Hallo geehrte Mitsreiter/innen, als erstes wünsche ich Euch allen in diese Zeit viel Gesundheit, Optimismus und Freude! Ich habe ...