Traffic Problem

Axel Umpfenbach axel at umpfenbach.de
So Jan 27 17:18:42 CET 2002


>>> Rolf Kutz <kutz at geo.Uni-Koeln.DE> 27.01.02 16:37:54 >>>
* Quoting Axel Umpfenbach (axel at umpfenbach.de): 

>> Ntop gibt mir eine IP an, wo das alles hingeht.
>> Bei 4 Attacken, die ich bisher online verfolgt habe sind 
>> das aber immer andere IP's.

>Hei*t das vier IPs insgesamt oder viele IPs pro
>Portscan?
4 Ip's insgesamt

>> Eine IP kam nie 2 x vor.
>> Wenn ich die Ntop Anzeige richtig verstehe, dann sendet 
>> der auf alle Ports von 1-1884 Daten und der Server 

>Ports auf Deinem Server oder auf dem Client?
Ports auf meinem Server

>> antwortet. Die Antorten haben im Schnitt 90% Retrans und
>> eine Paketgr÷*e < 64 Bytes.

>Und was ist drin? Welche Flags?
Weiss ich nicht, so gut kann ich damit noch nicht umgehen.

Plötzlich habe ich laut Ntop eine IP im Netz, die es hier aber nicht gibt.
Die liegt mitten in meinem Class C-Netz ist aber garantiert frei.
Ntop zegt auch eine MAC-Adresse davon an, mit eine 3Com Karte.
Diesen Host gibt es hier nicht.
Alle Hosts mit 3Com Karte habe ich abgeklemmt und der war immer 
noch da.
Der schickt lt. Ntop jede Menge solcher Pakete an meine Linus-Hosts.

Das einzige Gegenmittel, was ich bisher habe, ist die Hosts kurz 
runter fahren.

Axel



Mehr Informationen über die Mailingliste Linux-Users