/u/463431/crop5d13a3992a858.png?f=community)
Dag beste mede-tweakers,
Ik heb een vreemd issue waar ik niet onmiddellijk een antwoord over kan vinden dus ik hoop dat misschien hier een expert zit die me wat meer info kan geven.
Situatie kort geschetst, bij een klant heb ik een DDOS protector staan, ik wil hier graag iets rapportering op laten lopen (zodat die klant weet wat dat ding net aan het doen/blokkeren is) maar nu is er 1 soort trafiek wat ik niet begrijp wat het precies is, of hoe ik dat moet interpreteren (en de klant gaat uiteraard vragen stellen
)
Het gaat hoofdzakelijk over connecties naar de publieke websites die geblokkeerd worden wegens "TCP handshake violation, first packet not syn" op poortnummers die compleet willekeurig zijn (het gaat over zo'n 2500 connecties per week op poorten zoals 48870 -12766 - 28922 - 58659 - 17382 - ... ), connecties komen ook uit abnormale contreien (90% Amerika, maar ook Ierland, Roemenië, ...).
*Connecties horen hoofdzakelijk uit West-Europa te komen en enkel op http & https. (firewall zou ook enkel http & https doorlaten dus de connecties horen er niet te zijn).
Dat er connectiepogingen zijn, tot daar aan toe (die worden dan opgepikt door de firewall), maar waarom zouden er connecties (al dan niet met malafide achtergrond) zonder een voorafgaand Syn pakket verstuurd worden? Iemand enig idee?
Ik heb een vreemd issue waar ik niet onmiddellijk een antwoord over kan vinden dus ik hoop dat misschien hier een expert zit die me wat meer info kan geven.
Situatie kort geschetst, bij een klant heb ik een DDOS protector staan, ik wil hier graag iets rapportering op laten lopen (zodat die klant weet wat dat ding net aan het doen/blokkeren is) maar nu is er 1 soort trafiek wat ik niet begrijp wat het precies is, of hoe ik dat moet interpreteren (en de klant gaat uiteraard vragen stellen
)Het gaat hoofdzakelijk over connecties naar de publieke websites die geblokkeerd worden wegens "TCP handshake violation, first packet not syn" op poortnummers die compleet willekeurig zijn (het gaat over zo'n 2500 connecties per week op poorten zoals 48870 -12766 - 28922 - 58659 - 17382 - ... ), connecties komen ook uit abnormale contreien (90% Amerika, maar ook Ierland, Roemenië, ...).
*Connecties horen hoofdzakelijk uit West-Europa te komen en enkel op http & https. (firewall zou ook enkel http & https doorlaten dus de connecties horen er niet te zijn).
Dat er connectiepogingen zijn, tot daar aan toe (die worden dan opgepikt door de firewall), maar waarom zouden er connecties (al dan niet met malafide achtergrond) zonder een voorafgaand Syn pakket verstuurd worden? Iemand enig idee?
Jullie vriendelijkste zuiderbuur