[grnog] Abnormal Upstream traffic

[Spyros Kakaroukas]

Καλημέρα Μιχάλη,

Δεν έχει τύχει να δω ιδιαίτερη κίνηση από αυτό το AS πριν από χτες. Χτες και σήμερα παρατηρώ τις IP που αναφέρεις να στέλνουν udp πακέτα προς συγκεκριμένους ( λίγους ) προορισμούς στο δίκτυο μου στο port 1900 ( ssdp ) χωρίς να λαμβάνουν κάποια απάντηση, πέρα από icmp 3/1 . Η συνολική κίνηση είναι της τάξης των kbps. Κοιτώντας καθαρά τη δική μου κίνηση, δεδομένου ότι επιμένουν σε λίγες συγκεκριμένες destination IPs με μικρό σχετικά ρυθμό πακέτων, αν θεωρήσουμε ότι είναι όντως κακόβουλη και αν έπρεπε να κάνω κάποια υπόθεση, θα μου έμοιαζε με απόπειρα χρήσης ssdp για reflection/amplification attack. Δε θεωρώ όμως ότι έχω αρκετά στοιχεία για να στηρίξω την παραπάνω υπόθεση με ιδιαίτερη σιγουριά.


My thoughts and words are my own.

Spyros

From: <grnog-request at lists.grnog.gr> on behalf of "michalis.bersimis at hq.cyta.gr" <michalis.bersimis at hq.cyta.gr>
Reply-To: "grnog at lists.grnog.gr" <grnog at lists.grnog.gr>
Date: Thursday, 15 March 2018 at 12:11
To: "grnog at lists.grnog.gr" <grnog at lists.grnog.gr>
Subject: [grnog] Abnormal Upstream traffic

Καλημέρα,

Παρατήρησα από χτες, ένα περίεργο pattern κίνησης ( Upload traffic σταθερό γύρω στα 3G) με πολλαπλά flows από διάφορα sources του δίκτυου μας, προς συγκεκριμένα dst IPv4 ( 200.16.68.253 ή 200.16.68.84 ) που ανήκει στο AS52320.

Έχει κάποιος προσέξει κάτι παρόμοιο ?

Φιλικά,

Μιχάλης Μπερσίμης
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20180315/cf58a32e/attachment.html>