Portscan von DNS server?

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Portscan von DNS server?

Beitragvon Starvirus » So 22 Aug, 2010 22:01

Seit heute habe ich folgendes Problem.
Mein Ping ist enorm angestiegen und meine Firewall wird andauernd von einem Portscanner genervt. Das komische an der Sache ist das der Angreifer die IP 80.120.17.70 hat welcher aber der DNS-Server von Telekom Austria Business ist.

Spinnt mein Cisco Router oder rennt irgendwas bei der Telekom schief? Die Angriffe sind seite heute 8 Uhr
Bild
Starvirus
Profi-User
Profi-User
 
Beiträge: 1861
Registriert: Do 31 Jan, 2008 23:49
Wohnort: wollt ihr wieder wissen :P

Re: Portscan von DNS server?

Beitragvon wicked_one » Mo 23 Aug, 2010 06:44

Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12138
Registriert: Mo 18 Apr, 2005 20:14

Re: Portscan von DNS server?

Beitragvon wagsoul » Mo 23 Aug, 2010 10:13

Kleine Frage: Was soll denn so ein Portscan bringen, wenn die IP des Absender "gespooft" wurde.

Die Antworten (welche Ports sind offen, welche zu) erhält in diesem Fall ja die IP die hier falscherweise als Absender angeführt wird (der DNS-Server).

Kann das fĂĽr irgend etwas gut sein? (auĂźer, dass so vielleicht der Ping des betroffenen DSL-Anschlusses ansteigt, was vermutlich auch recht egal sein kann?)
wagsoul
Profi-User
Profi-User
 
Beiträge: 1638
Registriert: Fr 04 Mai, 2007 20:53

Re: Portscan von DNS server?

Beitragvon wicked_one » Mo 23 Aug, 2010 12:17

Du hälst es also für wahrscheinlicher, dass der TA DNS gehijackt wurde und nun als Angriffplattform verwendet wird... ?
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12138
Registriert: Mo 18 Apr, 2005 20:14

Re: Portscan von DNS server?

Beitragvon wagsoul » Mo 23 Aug, 2010 12:26

Sagt wer? (ich lese hier in keinem Beitrag auch nur annähernd davon)
wagsoul
Profi-User
Profi-User
 
Beiträge: 1638
Registriert: Fr 04 Mai, 2007 20:53

Re: Portscan von DNS server?

Beitragvon wicked_one » Mo 23 Aug, 2010 12:40

Starvirus hat geschrieben:von einem Portscanner genervt. Das komische an der Sache ist das der Angreifer die IP 80.120.17.70 hat welcher aber der DNS-Server von Telekom Austria Business ist.

Also entweder ist er nicht mächtens seine log einträge zu verstehen, oder es macht den anschein, er erhält einen angriff vom business DNS - zumindest steht diese behauptung im raum.

Oder fällt dir was ein, warum der DNS Portscans durchführt?
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12138
Registriert: Mo 18 Apr, 2005 20:14

Re: Portscan von DNS server?

Beitragvon Starvirus » Mo 23 Aug, 2010 15:41

@wicked_one

Ich kann meine Logs lesen und behersche die englische und deutsche Sprache. Wenn du keine hilfreichen Kommentare abgeben kannst dann lass deinen gedanklichen DĂĽnnschiss wo anders ab!

Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70

Ein kleiner Ausschnitt von gestern!

Nach einem Router neustart war alles wieder in Ordnung.
Bild
Starvirus
Profi-User
Profi-User
 
Beiträge: 1861
Registriert: Do 31 Jan, 2008 23:49
Wohnort: wollt ihr wieder wissen :P

Re: Portscan von DNS server?

Beitragvon wicked_one » Mo 23 Aug, 2010 16:35

Starvirus hat geschrieben:@wicked_one

Ich kann meine Logs lesen und behersche die englische und deutsche Sprache. Wenn du keine hilfreichen Kommentare abgeben kannst dann lass deinen gedanklichen DĂĽnnschiss wo anders ab!

Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70 Aug 22 15:28:23 - Drop by Port Scan UDP by 80.120.17.70

Ein kleiner Ausschnitt von gestern!

Nach einem Router neustart war alles wieder in Ordnung.

Ich lege dir ans Herz, sinnerfassend und zusammenhängend lesen zu lernen... ich habe nichts behauptet, sondern 2 Varianten in den Raum gestellt...

Und nur weil die Firewall meint es sei ein Port Scan, heisst es noch lange nicht, dass es einer ist. Übereifrige Firewalls mit geringen Threshholds liefern gern mal False Positives. Genausogut könnte es ein eifriger nach hause telefonierer sein, welcher in deinem LAN DNS Requests wie wild rausfeuert, und die unzähligen - angeforderten - Antworten des DNS findet die Firewall dann suspekt.

Die Variante mit gefakter Source-IP ist auch noch nicht vom Tisch.

Viele erkennen im "Dünnschiss" durchaus hilfreiche Hinweise auf ihr Problem, Die Statistik und mein Honorar geben mir idR Recht. Dies würde allerdings wieder erfordern, sinnerfassend zu lesen. Doch wird mir zu oft auch nachgesagt, zu sehr ins Detail zu gehen... ich hätte eigentlich besserung gelobt, doch noch tiefer will ich das Fachniveau nicht mehr setzen, dann sitz ich bald im Keller :diabolic:

Ich frage mich auch, warum du dein Problem hier postest... für die bestätigung deiner These? Hilfestellung wird offenbar allzuleicht als Kritik angesehen, vermutlich übersteigt dein Ego das meine wohl noch bei weitem - andernfall würdest du nicht gleich so "angepisst" sein, um in deiner Ausdrucksweise zu bleiben.
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12138
Registriert: Mo 18 Apr, 2005 20:14

Re: Portscan von DNS server?

Beitragvon penguinforce » Mo 23 Aug, 2010 18:06

mich wĂĽrde ja interessieren: in den log steht zwar wunderbar "drop portscan udp"... und welcher port?

es gibt verschiedenste variationen...

es könnte auch folgendes szenario sein (rein technisch gesehen): kunde betrieb unter ip a einen dns, aon den slave. kunde mit ip a ist nicht mehr der selbe (oder betreibt keinen dns mehr), aber slave will noch immer kontakt zum master.

da wären halt die packerl interessant, die da daherkommen bzw. requestet werden...

just my 2¢

:diabolic:
penguinforce
 

Re: Portscan von DNS server?

Beitragvon jutta » Mi 25 Aug, 2010 08:53

Starvirus hat geschrieben:Nach einem Router neustart war alles wieder in Ordnung.


da waere nun wieder interessant: statische oder dynamische ip?

eine dynamische ip ist eine erklaerung dafuer, dass der "portscan" oder was immer es war, nach einem reboot nicht mehr auftritt. wenn es sich aber um eine statische ip handelt, sieht es eher nach "router hat gesponnen" aus.

wagsoul hat geschrieben:Kleine Frage: Was soll denn so ein Portscan bringen, wenn die IP des Absender "gespooft" wurde.
Die Antworten (welche Ports sind offen, welche zu) erhält in diesem Fall ja die IP die hier falscherweise als Absender angeführt wird (der DNS-Server).


wenn das in ausreichendem ausmass passiert (also: nicht nur dein cisco sondern tausende hosts weltweit schicken packerl an einen bestimmte ip adresse "zurueck"), kann es sich als dos-angriff auf den dns-server auswirken.

abgesehen davon "bringen" wahrscheinlich 90 % des durch diverse malware produzieren traffics niemandem etwas.
jutta
Administrator
Administrator
 
Beiträge: 30291
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien


ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast