Router, Firewall, Sicherheit, Systemlogs, SYN scanning attacks

  • #1
P

P2P-USER

Neues Mitglied
Themenersteller
Dabei seit
01.08.2013
Beiträge
2
Reaktionspunkte
0
Seit Monaten sind wir in Asien mit SYN scanning Einträgen in der Router Firewall konfrontiert.
Der D-LINK Router macht einen Job gut, aber dennoch sind die sich stetig wiederholenden Firewall Bombardements störend und wirken sich ebenso praktisch aus.

Hier einige Log Beispiele wie der SYN scanning Hammer loslegt, wenn die dynamische IP vom Router erteilt wird und gleichzeitig z.B. Skype oder das P2P Programm aufstartet.

Bis zu 6 SYN scanning attacken innerhalb der ersten 10 Sekunden der connection sind die Regel.
Danach folgen diese meist in Zeitabständen von 10 Minuten.

Skype plus IP start
Aug 1 11:11:04 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=62.173.191.202 DLEN=48 TOS=0x00 PREC=0x00 TTL=105 ID=27015 DF PROTO=TCP SPT=16068 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0 >>> 202.191.173.62.dsl.static.ip.kpnqwest.it
Aug 1 11:11:17 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=76.115.147.161 LEN=52 TOS=0x00 PREC=0x00 TTL=107 ID=31342 DF PROTO=TCP SPT=52002 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 >>> c-76-115-147-161.hsd1.wa.comcast.net
Aug 1 11:11:17 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=200.120.87.12 DST=1.0.240.204 LEN=52 TOS=0x00 PREC=0x00 TTL=109 ID=23702 PROTO=TCP SPT=52914 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0 >>> pc-12-87-120-200.cm.vtr.net
Aug 1 11:11:20 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=76.115.147.161 LEN=52 TOS=0x00 PREC=0x00 TTL=107 ID=31345 DF PROTO=TCP SPT=52002 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Aug 1 11:11:20 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=200.120.87.12 LEN=52 TOS=0x00 PREC=0x00 TTL=109 ID=23704 PROTO=TCP SPT=52914 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
Aug 1 11:11:28 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=76.115.147.161 LEN=48 TOS=0x00 PREC=0x00 TTL=107 ID=31346 DF PROTO=TCP SPT=52002 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Aug 1 11:21:38 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=182.140.141.74 LEN=60 TOS=0x00 PREC=0x00 TTL=40 ID=26789 DF PROTO=TCP SPT=39085 DPT=3389 WINDOW=5840 RES=0x00 SYN URGP=0

Skype plus IP start
Aug 1 08:58:59 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=24.20.34.12 LEN=64 TOS=0x00 PREC=0x00 TTL=42 ID=47517 DF PROTO=TCP SPT=63537 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0 >>> c-24-20-34-12.hsd1.wa.comcast.net
Aug 1 08:59:00 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=125.53.225.47 LEN=64 TOS=0x00 PREC=0x00 TTL=46 ID=52251 PROTO=TCP SPT=58852 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Aug 1 08:59:00 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=24.20.34.12 LEN=64 TOS=0x00 PREC=0x00 TTL=42 ID=6850 DF PROTO=TCP SPT=63537 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0
Aug 1 08:59:00 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=125.53.225.47 LEN=64 TOS=0x00 PREC=0x00 TTL=46 ID=39969 DF PROTO=TCP SPT=58852 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Aug 1 08:59:00 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=24.20.34.12 LEN=64 TOS=0x00 PREC=0x00 TTL=42 ID=61878 DF PROTO=TCP SPT=63537 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0

Skype plus IP start
00:00:10 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=77.122.130.153 LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=27420 DF PROTO=TCP SPT=57365 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 >>> dynamic-77-122-130-153.ricona.net.ua
00:00:11 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=94.179.152.238 LEN=52 TOS=0x00 PREC=0x00 TTL=109 ID=9197 DF PROTO=TCP SPT=49726 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0 >>> 238-152-179-94.pool.ukrtel.net
00:00:14 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=77.122.130.153 LEN=52 TOS=0x00 PREC=0x00 TTL=114 ID=28334 DF PROTO=TCP SPT=57365 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
00:00:14 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=94.179.152.238 LEN=52 TOS=0x00 PREC=0x00 TTL=109 ID=9202 DF PROTO=TCP SPT=49726 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
00:00:19 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=77.122.130.153 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=29873 DF PROTO=TCP SPT=57365 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jul 31 20:10:09 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=198.13.105.151 LEN=40 TOS=0x00 PREC=0x00 TTL=108 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0

Skype plus IP start
Jul 30 19:29:39 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=62.81.242.72 LEN=48 TOS=0x00 PREC=0x00 TTL=104 ID=39770 DF PROTO=TCP SPT=2855 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0 >>> JUSTO_TELECOMUNICACIONES_SL
Jul 30 19:29:39 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=176.8.236.218 LEN=52 TOS=0x00 PREC=0x00 TTL=110 ID=20098 DF PROTO=TCP SPT=64983 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 >>> KYIVSTAR-NET-12 - Kyivstar GSM - Ukrainian mobile phone operator
Jul 30 19:29:42 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=62.81.242.72 LEN=48 TOS=0x00 PREC=0x00 TTL=104 ID=39781 DF PROTO=TCP SPT=2855 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 30 19:29:42 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=176.8.236.218 LEN=52 TOS=0x00 PREC=0x00 TTL=110 ID=20127 DF PROTO=TCP SPT=64983 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0
Jul 30 19:29:48 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=62.81.242.72 LEN=48 TOS=0x00 PREC=0x00 TTL=104 ID=39810 DF PROTO=TCP SPT=2855 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 30 19:42:37 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=99.115.86.148 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=7022 DF PROTO=TCP SPT=45406 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Jul 30 19:50:03 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=198.100.114.222 LEN=64 TOS=0x00 PREC=0x00 TTL=116 ID=65535 DF PROTO=TCP SPT=4445 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0

P2P plus IP start - 2013-07-30 13:03:37
00:01:13 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=88.190.55.103 LEN=52 TOS=0x00 PREC=0x00 TTL=101 ID=20569 DF PROTO=TCP SPT=36639 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0 >>> FR-DEDIBOX, Dedibox SAS, Paris, France
00:01:16 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=88.190.55.103 LEN=52 TOS=0x00 PREC=0x00 TTL=101 ID=20964 DF PROTO=TCP SPT=36639 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
00:01:22 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=88.190.55.103 LEN=48 TOS=0x00 PREC=0x00 TTL=101 ID=21726 DF PROTO=TCP SPT=36639 DPT=445 WINDOW=8192 RES=0x00 SYN URGP=0
00:01:31 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=71.254.155.111 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=8834 DF PROTO=TCP SPT=56964 DPT=3389 WINDOW=5840 RES=0x00 SYN URGP=0 >>> static-71-254-155-111.lsanca.fios.verizon.net - USA
00:01:34 kernel: Intrusion -> IN=ppp_0_1_32_1 OUT= MAC= SRC=71.254.155.111 LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=8835 DF PROTO=TCP SPT=56964 DPT=3389 WINDOW=5840 RES=0x00 SYN URGP=0

Fast immer sind aufschlagene IP's gelistet, z.B. bei ip.v4bl.org, dnsbl-2.uceprotect.net, b.barracudacentral.org, bl.spameatingmonkey.net usw.

Nun unsere Fragen dazu :

Logische Erklärungen und Absichten zu gezielten SYN scanning Attacken, bzw. wie laufen diese bei anderen Usern ab ?

Was suchen die Spammer oder vermeintlichen Hacker aus Europa, Osteuropa und den USA, z.B. Kyivstar GSM Ukrainian mobile phone operator am Router company euqipment in Asien ?

Welche Auswirkungen und Sicherheitsrisiken gehen von den SYN scanning Packet und Attacken aus ?
 
Thema:

Router, Firewall, Sicherheit, Systemlogs, SYN scanning attacks

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.836
Beiträge
707.957
Mitglieder
51.488
Neuestes Mitglied
elkhse
Oben