ensermo
08/11/07, 11:58
We kregen net een melding binnen van monitoring software dat een van de servers ruim 12Mbit/s aan bandbreedte gebruikte.
Omdat we zelf weten dat deze server nooit meer dan 1Mbit gebruikt vond ik het raar.
tcpdump liet zien.
11:51:13.204175 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 4344:5792(1448) ack 1 win 1716 <nop,nop,t
imestamp 1048352241 604658279>
11:51:13.204191 IP 145.94.x.x.58263 > ev1s-66-98-210-152.ev1servers.net.http: . ack 5792 win 2520 <nop,nop,timestamp 6046
58309 1048352241>
11:51:13.204298 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 5792:7240(1448) ack 1 win 1716 <nop,nop,t
imestamp 1048352241 604658279>
11:51:13.204421 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 7240:8688(1448) ack 1 win 1716 <nop,nop,t
imestamp 1048352241 604658279>
11:51:13.204437 IP 145.94.x.x.58263 > ev1s-66-98-210-152.ev1servers.net.http: . ack 8688 win 2520 <nop,nop,timestamp 6046
58309 1048352241>
11:51:13.204543 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 8688:10136(1448) ack 1 win 1716 <nop,nop,
timestamp 1048352241 604658279>
11:51:13.204697 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 10136:11584(1448) ack 1 win 1716 <nop,nop
,timestamp 1048352241 604658279>
11:51:13.204713 IP 145.94.x.x.58263 > ev1s-66-98-210-152.ev1servers.net.http: . ack 11584 win 2520 <nop,nop,timestamp 604
658309 1048352241>
11:51:13.204788 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 11584:12640(1056) ack 1 win 1716 <nop,nop
,timestamp 1048352241 604658279>
Is dit een DDOS poging?
De server draait in principe de volgende services op de volgende poorten.
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
831/tcp open unknown
3306/tcp open mysql
8888/tcp open webserver
Ik heb het al in de firewall gezet en de bandbreedte is weer 1Mbit maar vroeg me af of jullie wisten (of en wat) voor attack dit was?
Omdat we zelf weten dat deze server nooit meer dan 1Mbit gebruikt vond ik het raar.
tcpdump liet zien.
11:51:13.204175 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 4344:5792(1448) ack 1 win 1716 <nop,nop,t
imestamp 1048352241 604658279>
11:51:13.204191 IP 145.94.x.x.58263 > ev1s-66-98-210-152.ev1servers.net.http: . ack 5792 win 2520 <nop,nop,timestamp 6046
58309 1048352241>
11:51:13.204298 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 5792:7240(1448) ack 1 win 1716 <nop,nop,t
imestamp 1048352241 604658279>
11:51:13.204421 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 7240:8688(1448) ack 1 win 1716 <nop,nop,t
imestamp 1048352241 604658279>
11:51:13.204437 IP 145.94.x.x.58263 > ev1s-66-98-210-152.ev1servers.net.http: . ack 8688 win 2520 <nop,nop,timestamp 6046
58309 1048352241>
11:51:13.204543 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 8688:10136(1448) ack 1 win 1716 <nop,nop,
timestamp 1048352241 604658279>
11:51:13.204697 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 10136:11584(1448) ack 1 win 1716 <nop,nop
,timestamp 1048352241 604658279>
11:51:13.204713 IP 145.94.x.x.58263 > ev1s-66-98-210-152.ev1servers.net.http: . ack 11584 win 2520 <nop,nop,timestamp 604
658309 1048352241>
11:51:13.204788 IP ev1s-66-98-210-152.ev1servers.net.http > 145.94.x.x.58263: . 11584:12640(1056) ack 1 win 1716 <nop,nop
,timestamp 1048352241 604658279>
Is dit een DDOS poging?
De server draait in principe de volgende services op de volgende poorten.
PORT STATE SERVICE
22/tcp open ssh
111/tcp open rpcbind
831/tcp open unknown
3306/tcp open mysql
8888/tcp open webserver
Ik heb het al in de firewall gezet en de bandbreedte is weer 1Mbit maar vroeg me af of jullie wisten (of en wat) voor attack dit was?