Divné pokusy o připojení k serveru (vyřešeno)

Dobrý den,

na školní server nám přichází zhruba 100 pokusů o připojení za sekundu, podle IP adresy se tváří některé jako americké, některé z Číny. Periodicky přicházejí pakety s nastaveným příznakem SYN na porty 53, 143, 80, 110, a 25. Myslíte si, že to může být pokus o prolomení port-knockingu (který stejně nepoužíváme), nebo nějaká jiná kratochvíle? Přikládám krátký log filtrovaný podle jedné zdrojové adresy. Ze stejné sítě se pokusy střídají z různých IP adres, v podstatě se podle původu jedná jen o několik málo sítí, i když zdrojové IP adresy se občas mění.

Mohl by to byt obycejny scan/flood, ktery hleda zname sluzby..

2.4.2015 11:29 Jura Jurátor | skóre: 2
Rozbalit Rozbalit vše Re: Divné pokusy o připojení k serveru

Divné, je že to periodicky ze skoro stejných adres.

Ale to možná odpovídá podstatě SYN Flood, kdy se píše, že IP mohou být podvržené

http://searchsecurity.techtarget.com/definition/SYN-flooding

Ale tím, že je to jen na porty obvyklých služeb, tak je to možná kombinace podvržených IP a pokusu najít nezabezpečenou službu (s implicitním heslem a proniknout do ní),jak tu psal přispěvatel přede mnou.

Když jsem sledoval log na FTP serveru, tak to mělo scénář: IPíčka z Číny a pokus o přihlášení např root/root admin/admin asi 10x do minuty.

To vypadá na nějaký program co se rozšířil po internetu, lidi si ho stahují a ten pak podvrhuje IP v stejném ranku, od různých "hackerů" a zkouší se dostat do nějaké služby, kde si někdo nechal iplicitní hesla.

Dotaz: Divné pokusy o připojení k serveru

Odpovědi