<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Verdana;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p

        {mso-style-priority:99;

        mso-margin-top-alt:auto;

        margin-right:0cm;

        mso-margin-bottom-alt:auto;

        margin-left:0cm;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

p.MsoAcetate, li.MsoAcetate, div.MsoAcetate

        {mso-style-priority:99;

        mso-style-link:"Balloon Text Char";

        margin:0cm;

        margin-bottom:.0001pt;

        font-size:8.0pt;

        font-family:"Tahoma","sans-serif";}

span.BalloonTextChar

        {mso-style-name:"Balloon Text Char";

        mso-style-priority:99;

        mso-style-link:"Balloon Text";

        font-family:"Tahoma","sans-serif";}

span.EmailStyle21

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:72.0pt 90.0pt 72.0pt 90.0pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EL" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">For</span><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">

</span><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">the</span><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">

</span><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">record</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">, αντιμετωπίστηκε το παρακάτω κόβοντας την επικοινωνία προς και

 από τους προορισμούς. <o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Συμφωνώ το 1900

</span><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">port</span><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">

</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">δεν πρέπει να είναι ανοιχτό προς το

</span><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Internet</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">, αλλά μπορεί κάποιος να θέλει να την χρησιμοποιήσει… οπότε θέλει

 προσοχή.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Μιχάλης Μπερσίμης<o:p></o:p></span></b></p>

</div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Αλέξανδρος Σταμάτης [mailto:a.stamatis@hostmein.net]

<br>

<b>Sent:</b> Thursday, March 15, 2018 2:06 PM<br>

<b>To:</b> grnog@lists.grnog.gr<br>

<b>Cc:</b> Spyros Kakaroukas; Μπερσίμης Μιχάλης (900356)<br>

<b>Subject:</b> Re: [grnog] Abnormal Upstream traffic<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p><span style="font-size:10.0pt;font-family:"Verdana","sans-serif"">Καλησπέρα,<o:p></o:p></span></p>

<p><span style="font-size:10.0pt;font-family:"Verdana","sans-serif"">Η εικασία του Σπύρου είναι μάλλον σωστή.<o:p></o:p></span></p>

<p><span style="font-size:10.0pt;font-family:"Verdana","sans-serif"">Απ'ότι όλα δείχνουν δυστυχώς υπάρχουν ακόμη χιλιάδες συσκευές που είναι vulnerable σε ένα παλιό (τέλος του 2012) κενό ασφαλείας στο libupnp.<br>

<a href="https://www.kb.cert.org/vuls/id/922681">https://www.kb.cert.org/vuls/id/922681</a><o:p></o:p></span></p>

<p><span style="font-size:10.0pt;font-family:"Verdana","sans-serif"">Και η cloudflare πριν κάποιους μήνες ανέβασε ένα σχετικό άρθρο για ssdp amplificiation που δέχθηκαν στα 100Gbps. Άρα το ως άνω πρόβλημα σίγουρα παραμένει σε πολύ μεγάλο βαθμό ανάμεσα σε παλαιότερους

 και unpatched soho routers πχ dlink. Είναι ενδιαφέρον κατά την γνώμη μου το παρακάτω.<br>

<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__blog.cloudflare.com_ssdp-2D100gbps_&d=DwMFaQ&c=RhEinAcLrNl6jZKlpkVEOcYc5Szwoo-BLctDiWqf1Y8&r=--KdJ_jkRe0buHeGS6pnHshcZKoiVKAoHSvqs-s_NXs&m=QaqpgL-B3tRl5FuLa_W63AYB_1QDEdekIau_jq3cEaA&s=qwv85EM7GhtXOEPJl-c4rdHOd6O5mUiDdpX55UpvjJY&e=">https://blog.cloudflare.com/ssdp-100gbps/</a><o:p></o:p></span></p>

<p><span style="font-size:10.0pt;font-family:"Verdana","sans-serif"">Στο εξωτερικό υπάρχουν ISP που κόβουν για αυτό το λόγο το port 1900.<br>

Ίσως και να είναι μια καλή ιδέα για όλους. Άλλωστε δεν νομίζω ότι υπάρχει κάποιος λόγος το port 1900 να είναι ανοιχτό προς το internet.<br>

<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__www.xfinity.com_support_articles_list-2Dof-2Dblocked-2Dports&d=DwMFaQ&c=RhEinAcLrNl6jZKlpkVEOcYc5Szwoo-BLctDiWqf1Y8&r=--KdJ_jkRe0buHeGS6pnHshcZKoiVKAoHSvqs-s_NXs&m=QaqpgL-B3tRl5FuLa_W63AYB_1QDEdekIau_jq3cEaA&s=TfENciEesajEsDKphfsUCzvYQrCkQbxOoPjp1C0CjHU&e=">https://www.xfinity.com/support/articles/list-of-blocked-ports</a><o:p></o:p></span></p>

<p><span style="font-size:10.0pt;font-family:"Verdana","sans-serif""><o:p> </o:p></span></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">---<br>

Με εκτίμηση,<br>

Kind Regards,<br>

<br>

Alexander Stamatis,<br>

Chief Technology Officer<br>

<br>

HostMeIn ΙΚΕ<br>

Internet Services<br>

32 Kifisias ave, 151 25, Marousi, Athens (Atrina Tower)<br>

Tel: +30 212 213 5061<br>

<br>

Like us on Facebook : <a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__www.facebook.com_HostMeIn&d=DwMFaQ&c=RhEinAcLrNl6jZKlpkVEOcYc5Szwoo-BLctDiWqf1Y8&r=--KdJ_jkRe0buHeGS6pnHshcZKoiVKAoHSvqs-s_NXs&m=QaqpgL-B3tRl5FuLa_W63AYB_1QDEdekIau_jq3cEaA&s=BlFTjW_0h7FP6lVzY0QOsAt_Cd0NdftPoEAJ9RqKlqI&e=" target="_blank">

https://www.facebook.com/HostMeIn</a><br>

Follow us on Twitter : <a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__twitter.com_HostMeIn&d=DwMFaQ&c=RhEinAcLrNl6jZKlpkVEOcYc5Szwoo-BLctDiWqf1Y8&r=--KdJ_jkRe0buHeGS6pnHshcZKoiVKAoHSvqs-s_NXs&m=QaqpgL-B3tRl5FuLa_W63AYB_1QDEdekIau_jq3cEaA&s=NTSuPVd4CH5vQ9P3jsYY5DilseQSc8YPYIQPSPcGqI0&e=" target="_blank">

https://twitter.com/HostMeIn</a><o:p></o:p></span></p>

</div>

</div>

<p><span style="font-size:10.0pt;font-family:"Verdana","sans-serif""><o:p> </o:p></span></p>

<p><span style="font-size:10.0pt;font-family:"Verdana","sans-serif"">Στις 15-03-2018 12:40, Spyros Kakaroukas έγραψε:<o:p></o:p></span></p>

<blockquote style="border:none;border-left:solid #1010FF 1.5pt;padding:0cm 0cm 0cm 5.0pt;margin-left:0cm;margin-right:0cm">

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Καλημέρα Μιχάλη,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Δεν έχει τύχει να δω ιδιαίτερη κίνηση από αυτό το AS πριν από χτες. Χτες και σήμερα παρατηρώ τις IP που αναφέρεις να στέλνουν udp πακέτα προς συγκεκριμένους ( λίγους ) προορισμούς

 στο δίκτυο μου στο port 1900 ( ssdp ) χωρίς να λαμβάνουν κάποια απάντηση, πέρα από icmp 3/1 . Η συνολική κίνηση είναι της τάξης των kbps. Κοιτώντας καθαρά τη δική μου κίνηση, δεδομένου ότι επιμένουν σε λίγες συγκεκριμένες destination IPs με μικρό σχετικά ρυθμό

 πακέτων, αν θεωρήσουμε ότι είναι όντως κακόβουλη και αν έπρεπε να κάνω κάποια υπόθεση, θα μου έμοιαζε με απόπειρα χρήσης ssdp για reflection/amplification attack. Δε θεωρώ όμως ότι έχω αρκετά στοιχεία για να στηρίξω την παραπάνω υπόθεση με ιδιαίτερη σιγουριά.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.5pt;color:black;mso-fareast-language:EN-GB">My thoughts and words are my own.</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.5pt;color:black;mso-fareast-language:EN-GB"> </span><o:p></o:p></p>

</div>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.5pt;color:black;mso-fareast-language:EN-GB">Spyros</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><strong><span style="color:black">From:

</span></strong><span style="color:black"><<a href="mailto:grnog-request@lists.grnog.gr">grnog-request@lists.grnog.gr</a>> on behalf of "<a href="mailto:michalis.bersimis@hq.cyta.gr">michalis.bersimis@hq.cyta.gr</a>" <<a href="mailto:michalis.bersimis@hq.cyta.gr">michalis.bersimis@hq.cyta.gr</a>><br>

<strong>Reply-To: </strong>"<a href="mailto:grnog@lists.grnog.gr">grnog@lists.grnog.gr</a>" <<a href="mailto:grnog@lists.grnog.gr">grnog@lists.grnog.gr</a>><br>

<strong>Date: </strong>Thursday, 15 March 2018 at 12:11<br>

<strong>To: </strong>"<a href="mailto:grnog@lists.grnog.gr">grnog@lists.grnog.gr</a>" <<a href="mailto:grnog@lists.grnog.gr">grnog@lists.grnog.gr</a>><br>

<strong>Subject: </strong>[grnog] Abnormal Upstream traffic</span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Καλημέρα,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Παρατήρησα από χτες, ένα περίεργο pattern κίνησης ( Upload traffic σταθερό γύρω στα 3G) με πολλαπλά flows από διάφορα sources του δίκτυου μας, προς συγκεκριμένα dst IPv4 ( 200.16.68.253

 ή 200.16.68.84 ) που ανήκει στο AS52320.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Έχει κάποιος προσέξει κάτι παρόμοιο ?

<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Φιλικά,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Μιχάλης Μπερσίμης<o:p></o:p></p>

</div>

</blockquote>

</div>

</body>

</html>