Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Veel UDP Floods, allemaal verschillende IP's

Pagina: 1
Acties:

zondag 4 januari 2015 01:12

Acties:
  • flashingst
  • Registratie: Oktober 2010
  • Laatst online: 11-10 12:07

flashingst

Topicstarter
Beste medetweakers,

Ik zit met een vraag wat betreft de log van mijn router. Ik heb deze (op aanraden) eens bekeken en zie nu allemaal UDP Flood's hierin staan. Zelf heb ik totaal geen verstand van netwerken o.i.d. dus om eerlijk te zijn maak ik me (na wat gelezen te hebben op Google) een beetje zorgen :P. Hier staat een deel van de log:

01/03/2015 18:10:53 **UDP flood** 31.204.102.96, 6905->> 192.168...., 59330 (from ATM1 Inbound)
01/03/2015 18:10:52 **UDP flood** 46.200.209.85, 33363->> 192.168.,,,, 59330 (from ATM1 Inbound)
01/03/2015 18:10:19 **UDP flood** 109.61.220.15, 49001->> 192.168...., 59330 (from ATM1 Inbound)

Zo staan er nog veel meer, verspreid over vele dagen. Wat is dit? :/

zondag 4 januari 2015 01:30

Acties:
  • hcQd
  • Registratie: September 2009
  • Laatst online: 07:52

hcQd

Gebruikt je torrent-client soms poort 59330? Ook als je dat programma hebt afgesloten blijven de pogingen om verbinding te maken nog wel een tijdje doorgaan.

zondag 4 januari 2015 01:37

Acties:
  • flashingst
  • Registratie: Oktober 2010
  • Laatst online: 11-10 12:07

flashingst

Topicstarter
Ah ja! Ik zie het nu. Port 59330 gebruikt mijn torrent-client inderdaad. Maar waarom staan er dan zo veel verschillende IP's terwijl er geen torrents in m'n lijst staan (ook geen voltooide). En wat zijn de nummers achter de "vreemde" IP's (dus de 6905, 33363 en 49001)?

[ Voor 17% gewijzigd door flashingst op 04-01-2015 01:42 ]

zondag 4 januari 2015 01:51

Acties:
  • hcQd
  • Registratie: September 2009
  • Laatst online: 07:52

hcQd

Zolang het draait blijft hij opgenomen in het DHT-overlaynetwerk, voor het vinden van peers en het resolven van magnet-links (voor jezelf en voor anderen).

zondag 4 januari 2015 12:03

Acties:
  • flashingst
  • Registratie: Oktober 2010
  • Laatst online: 11-10 12:07

flashingst

Topicstarter
Oke, dat is dan duidelijk. Ook staan er een aantal UDP Loops:

01/04/2015 07:33:09 **UDP Loop** 74.82.47.61, 37814->> MIJN IP, 19 (from ATM1 Inbound)
01/03/2015 07:49:56 **UDP Loop** 93.180.5.26, 60177->> MIJN IP, 19 (from ATM1 Inbound)
01/03/2015 07:36:44 **UDP Loop** 74.82.47.61, 57001->> MIJN IP, 19 (from ATM1 Inbound)
01/03/2015 03:12:09 **UDP Loop** 192.3.45.82, 43816->> MIJN IP, 19 (from ATM1 Inbound)
01/01/2015 18:12:14 **UDP Loop** 93.180.5.26, 43483->> MIJN IP, 19 (from ATM1 Inbound)
01/01/2015 16:44:51 **UDP Loop** 192.3.207.90, 60260->> MIJN IP, 19 (from ATM1 Inbound)
12/31/2014 01:09:05 **UDP Loop** 173.242.112.113, 34814->> MIJN IP, 19 (from ATM1 Inbound)
12/30/2014 23:39:45 **UDP Loop** 93.180.5.26, 37878->> MIJN IP, 19 (from ATM1 Inbound)
12/30/2014 22:06:01 **UDP Loop** 192.3.186.210, 53529->> MIJN IP, 19 (from ATM1 Inbound)

Een aantal IP adressen komt meerdere malen voor en telkens wordt poort 19 (die overigens dicht is) aangesproken. Is hier ook een verklaring voor?

zondag 4 januari 2015 12:44

Acties:
  • hcQd
  • Registratie: September 2009
  • Laatst online: 07:52

hcQd

Dat zijn pogingen om jouw systeem te misbruiken voor een DDoS.

Character Generator Protocol:
UDP CHARGEN is commonly used in denial of service attacks. By using a fake source address the attacker can send bounce traffic off a UDP CHARGEN application to the victim. UDP CHARGEN sends 200 to 1,000 times more data than it receives, depending upon the implementation. This "traffic multiplication" is attractive to an attacker. Also attractive is the obscuring of the attacker's IP address from the victim.

zondag 4 januari 2015 13:00

Acties:
  • flashingst
  • Registratie: Oktober 2010
  • Laatst online: 11-10 12:07

flashingst

Topicstarter
Ik ben inmiddels op deze website terechtgekomen: http://www.abuseipdb.com/. Als ik op deze website de IP's invoer die in mijn log staan dan staan ze stuk voor stuk meerdere malen gereport (zo'n 30 keer). Dus ik ben niet de enige waarbij het geprobeerd wordt in dit geval? Betekent dit dat deze adressen bekend zijn wat betreft DDoS attacks?

zondag 4 januari 2015 14:12

Acties:
  • Thralas
  • Registratie: December 2002
  • Laatst online: 23:39

Thralas

flashingst schreef op zondag 04 januari 2015 @ 13:00:
Dus ik ben niet de enige waarbij het geprobeerd wordt in dit geval? Betekent dit dat deze adressen bekend zijn wat betreft DDoS attacks?
Ja, en ja (in het algemeen wel).

In geval van de chargen probes zou het source IP gespoofed moeten zijn voor een 'echte' aanval. Volgens mij zijn de meeste netwerken hier tegenwoordig een stuk resistenter tegen, dus het feit dat men het probeert is wel enigzins curieus (plus, je moet een ontzettend oude unixbak zoeken om een werkende chargen service te vinden).

zondag 4 januari 2015 14:14

Acties:
  • hcQd
  • Registratie: September 2009
  • Laatst online: 07:52

hcQd

Als het doel een DDoS is dan is het adres dat van het beoogde slachtoffer. Als het een zoektocht is naar wie CHARGEN heeft draaien dan natuurlijk niet. Ik zou me er ook niet zoveel zorgen om maken, dit is toch echt een beetje “welkom op het internet”.

Overigens is de eerste (74.82.47.61) redelijk onschuldig: The Shadowserver Foundation – Open Chargen Service Scanning Project.
Thralas schreef op zondag 04 januari 2015 @ 14:12:
[...]

(plus, je moet een ontzettend oude unixbak zoeken om een werkende chargen service te vinden).
Blijkbaar nog 58558 volgens bovenstaande site.

[ Voor 22% gewijzigd door hcQd op 04-01-2015 14:16 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq