
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt; font-family: Verdana,Geneva,sans-serif'>

<p>Καλησπέρα,</p>

<p>Η εικασία του Σπύρου είναι μάλλον σωστή.</p>

<p>Απ'ότι όλα δείχνουν δυστυχώς υπάρχουν ακόμη χιλιάδες συσκευές που είναι vulnerable σε ένα παλιό (τέλος του 2012) κενό ασφαλείας στο libupnp.<br />https://www.kb.cert.org/vuls/id/922681</p>

<p>Και η cloudflare πριν κάποιους μήνες ανέβασε ένα σχετικό άρθρο για ssdp amplificiation που δέχθηκαν στα 100Gbps. Άρα το ως άνω πρόβλημα σίγουρα παραμένει σε πολύ μεγάλο βαθμό ανάμεσα σε παλαιότερους και unpatched soho routers πχ dlink. Είναι ενδιαφέρον κατά την γνώμη μου το παρακάτω.<br /><a href="https://blog.cloudflare.com/ssdp-100gbps/">https://blog.cloudflare.com/ssdp-100gbps/</a></p>

<p>Στο εξωτερικό υπάρχουν ISP που κόβουν για αυτό το λόγο το port 1900.<br />Ίσως και να είναι μια καλή ιδέα για όλους. Άλλωστε δεν νομίζω ότι υπάρχει κάποιος λόγος το port 1900 να είναι ανοιχτό προς το internet.<br /><a href="https://www.xfinity.com/support/articles/list-of-blocked-ports">https://www.xfinity.com/support/articles/list-of-blocked-ports</a></p>

<p><br /></p>

<div>

<div class="pre" style="margin: 0; padding: 0; font-family: monospace">---<br /> Με εκτίμηση,<br /> Kind Regards,<br /> <br /> Alexander Stamatis,<br /> Chief Technology Officer<br /> <br /> HostMeIn ΙΚΕ<br /> Internet Services<br /> 32 Kifisias ave, 151 25, Marousi, Athens (Atrina Tower)<br /> Tel: +30 212 213 5061<br /> <br /> Like us on Facebook : <a href="https://www.facebook.com/HostMeIn" target="_blank" rel="noopener noreferrer">https://www.facebook.com/HostMeIn</a><br /> Follow us on Twitter : <a href="https://twitter.com/HostMeIn" target="_blank" rel="noopener noreferrer">https://twitter.com/HostMeIn</a></div>

</div>

<p><br /></p>

<p>Στις 15-03-2018 12:40, Spyros Kakaroukas έγραψε:</p>

<blockquote type="cite" style="padding: 0 0.4em; border-left: #1010ff 2px solid; margin: 0"><!-- html ignored --><!-- head ignored --><!-- meta ignored --><!-- meta ignored --><!-- meta ignored --><!-- meta ignored -->

<div class="WordSection1">

<p class="MsoNormal"><span>Καλημέρα Μιχάλη,<!-- o ignored --></span></p>

<p class="MsoNormal"><span><!-- o ignored --> </span></p>

<p class="MsoNormal"><span>Δεν έχει τύχει να δω ιδιαίτερη κίνηση από αυτό το </span><span>AS</span><span> </span><span>πριν από χτες. Χτες και σήμερα παρατηρώ τις </span><span>IP</span><span> </span><span>που αναφέρεις να στέλνουν </span><span>udp</span><span> </span><span>πακέτα προς συγκεκριμένους ( λίγους ) προορισμούς στο δίκτυο μου στο </span><span>port</span><span> 1900 ( </span><span>ssdp</span><span> ) χωρίς να λαμβάνουν κάποια απάντηση, πέρα από </span><span>icmp</span><span> 3/1 . Η συνολική κίνηση είναι της τάξης των </span><span>kbps</span><span>. Κοιτώντας καθαρά τη δική μου κίνηση, δεδομένου ότι επιμένουν σε λίγες συγκεκριμένες </span><span>destination</span><span> </span><span>IPs</span><span> </span><span>με μικρό σχετικά ρυθμό πακέτων, αν θεωρήσουμε ότι είναι όντως κακόβουλη και αν έπρεπε να κάνω κάποια υπόθεση, θα μου έμοιαζε με απόπειρα χρήσης </span><span>ssdp</span><span> </span><span>για reflection/amplification attack. Δε θεωρώ όμως ότι έχω αρκετά στοιχεία για να στηρίξω την παραπάνω υπόθεση με ιδιαίτερη σιγουριά.<!-- o ignored --></span></p>

<p class="MsoNormal"><span><!-- o ignored --> </span></p>

<p class="MsoNormal"><span><!-- o ignored --> </span></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;">My</span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;"> </span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;">thoughts</span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;"> </span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;">and</span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;"> </span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;">words</span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;"> </span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;">are</span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;"> </span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;">my</span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;"> </span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;">own</span><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;">.<!-- o ignored --></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;"><!-- o ignored --> </span></p>

</div>

</div>

<p class="MsoNormal"><span style="font-size: 10.5pt; color: black; mso-fareast-language: EN-GB;">Spyros</span><span><!-- o ignored --></span></p>

<p class="MsoNormal"><span><!-- o ignored --> </span></p>

<div style="border: none; border-top: solid #B5C4DF 1.0pt; padding: 3.0pt 0in 0in 0in;">

<p class="MsoNormal"><strong><span style="font-size: 12.0pt; color: black;">From: </span></strong><span style="font-size: 12.0pt; color: black;"><grnog-request@lists.grnog.gr> on behalf of "michalis.bersimis@hq.cyta.gr" <michalis.bersimis@hq.cyta.gr><br /><strong>Reply-To: </strong>"grnog@lists.grnog.gr" <grnog@lists.grnog.gr><br /><strong>Date: </strong>Thursday, 15 March 2018 at 12:11<br /><strong>To: </strong>"grnog@lists.grnog.gr" <grnog@lists.grnog.gr><br /><strong>Subject: </strong>[grnog] Abnormal Upstream traffic</span><span style="font-size: 12.0pt; color: black; mso-fareast-language: EN-GB;"><!-- o ignored --></span></p>

</div>

<div>

<p class="MsoNormal"><!-- o ignored --> </p>

</div>

<p class="MsoNormal">Καλημέρα,<!-- o ignored --></p>

<p class="MsoNormal"> <!-- o ignored --></p>

<p class="MsoNormal">Παρατήρησα από χτες, ένα περίεργο <span>pattern </span>κίνησης ( <span>Upload traffic </span>σταθερό γύρω στα 3<span>G</span>) με πολλαπλά <span>flows </span>από διάφορα <span>sources </span>του δίκτυου μας, προς συγκεκριμένα <span>dst IPv</span>4 ( 200.16.68.253 ή 200.16.68.84 ) που ανήκει στο <span>AS</span>52320.<!-- o ignored --></p>

<p class="MsoNormal"> <!-- o ignored --></p>

<p class="MsoNormal">Έχει κάποιος προσέξει κάτι παρόμοιο ? <!-- o ignored --></p>

<p class="MsoNormal"> <!-- o ignored --></p>

<p class="MsoNormal">Φιλικά,<!-- o ignored --></p>

<p class="MsoNormal"> <!-- o ignored --></p>

<p class="MsoNormal">Μιχάλης Μπερσίμης<!-- o ignored --></p>

</div>

</blockquote>

</body></html>