Veel connecties vanaf meerdere ipadressen

Is het niet gewoon iemand die je site bezoekt? Kijk eens in de logs van je webserver of er ook daadwerkelijk pagina's worden opgevraagd.

Beetje weinig data voor een site-bezoek lijkt me..

Osiris schreef op vrijdag 10 december 2004 @ 00:23:
Beetje weinig data voor een site-bezoek lijkt me..

Ik ben niet bekend met het OS van de TS, maar het lijkt me een Linux variant. Weet dus ook niet waar de verschillende kolommen voor staan (al zijn de eerste en laatste 2 wel duidelijk)

Het zou verder gewoon een standaard scan kunnen zijn van een of andere kansloze stakker die wil weten of jij nog IIS 4.0 draait om daar vervolgens een exploit op los te laten. Ik kan je wel vertellen dat dit geen DDoS is, aangezien je dan
a) nu niet hier zat te posten
b) het niet via TCP op poort 80 zou gebeuren (eerder SYN floods en UDP rommel)

Ik zou het gewoon even aankijken, is het over een kwartier nog aan de gang, dan is het een fanatiekeling.

Maar de andere kant is ook niet van plan om de 3way handshake op een normale manier te voltooien middels een ACKje op de SYN/ACK.
En steeds opnieuw beginnen en RST doen is zeker wel licht storend gedrag.

[ Voor 61% gewijzigd door Voutloos op 10-12-2004 00:35 ]

xxplosiefje schreef op vrijdag 10 december 2004 @ 08:56:
Het is op één of andere manier nog steeds niet afgelopen, heeft iemand enig idee wat ik kan doen?

Wellicht dat je router het blokkeren van IP's ondersteunt? Of misschien dat Linux iets heeft als IPSec in Windows, dus dat je IP verkeer kan filteren nog voordat het wordt verwerkt. Misschien dat andere Linux gebruikers hier een antwoord op weten.

-ip blocken (router / webserver?)
-proberen te achter halen wie het is (a197171.upc-a.chello.nl)
-image neerzetten (met een duidelijke tekst erin). wellicht stopt het dan? klinkt mij namelijk eerder als rotte software dan een gerichte DOS

Er is echt iets raars aan de hand met jou site/server, ik ben net ff naar www.denheeren.nl geweest en nu staat dit in mijn Firewall log:

Dec 10 14:08:12: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2439), 1 packet
Dec 10 14:08:12: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2440), 1 packet
Dec 10 14:08:12: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(1329), 1 packet
Dec 10 14:08:12: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(1330), 1 packet
Dec 10 14:08:12: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2462), 1 packet
Dec 10 14:08:13: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2464), 1 packet
Dec 10 14:08:13: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2463), 1 packet
Dec 10 14:08:13: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2475), 1 packet
Dec 10 14:08:13: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(1026), 1 packet
Dec 10 14:08:13: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2308), 1 packet
Dec 10 14:08:13: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2307), 1 packet
Dec 10 14:08:13: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2498), 2 packets
Dec 10 14:08:13: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(1369), 1 packet
Dec 10 14:08:13: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2313), 1 packet
Dec 10 14:08:15: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2089), 1 packet
Dec 10 14:08:15: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2428), 1 packet
Dec 10 14:08:15: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2440), 1 packet
Dec 10 14:08:16: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2463), 1 packet
Dec 10 14:08:16: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2475), 1 packet
Dec 10 14:08:16: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(1556), 1 packet
Dec 10 14:08:17: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(1618), 1 packet
Dec 10 14:08:17: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2196), 1 packet
Dec 10 14:08:17: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(1644), 1 packet
Dec 10 14:08:19: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2307), 1 packet
Dec 10 14:08:21: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(1798), 1 packet
Dec 10 14:08:21: %SEC-6-IPACCESSLOGP: list 111 denied tcp 212.238.222.64(80) ->
84.xx.xxx.xxx(2428), 1 packet

En ja 212.238.222.64 is jou site, IE probeert ook steeds item_bg.jpg opnieuw te openen. Firewall = Cisco router.

Ook effe naar die site geweest:
-dat plaatje wordt wel degelijk gerefereerd in de index pagina.
-Er draait een scriptje op de pagina dat de pagina achter grond eleke 50 ms verkleurt -> wellicht zorgt dat ook dat dat plaatje wat niet meer bestaat telkeens opnieuw probeerd in te laden.

kortom: Je doet het zelf ! dat is gewoon iemand die de site open heeft in zijn browser.