Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.security.firewall > #220

Re: Viele Verbindungen im Zustand SYN_RECV

From Günter Frenz <usenet-01@guefz.de>
Newsgroups de.comp.security.firewall
Subject Re: Viele Verbindungen im Zustand SYN_RECV
Date 2019-11-03 10:24 +0100
Organization news.netcologne.de
Message-ID <20191103102401.55c1750d@corinnis.midgard> (permalink)
References <eelr8g-the.ln1@gesammeltimusenet200802.news.arcor.de> <qpgpq0$nln$1@shakotay.alphanet.ch> <20191101135101.1d5327b5@corinnis.midgard> <dla19g-ju3.ln1@gesammeltimusenet200802.news.arcor.de>

Show all headers | View raw

Am Sat, 2 Nov 2019 22:56:29 +0100 schrieb Jochen Meier:

> Günter Frenz <usenet-01@guefz.de> wrote:
> > Am Fri, 1 Nov 2019 09:19:12 +0100 (CET) schrieb Marc SCHAEFER:
> >   
> >> Die Verteidigungsmassnahme heisst Syncookies[1].
> >> 
> >> [1] https://de.wikipedia.org/wiki/SYN-Cookies  
> 
> Die sind bereits aktiviert, aber ich finde in den Logs keinen Eintrag,
> dass sie durch den Angreifer auch ausgelöst werden. Dann sollte doch
> der Kernel in etwa "Possible SYN flooding on port X. Sending cookies"
> protokollieren.
> 
> > Ich beobachte das auch auf zwei Systemen, einmal mein Router hier zu
> > Hause (mangels Alternativen nur Port 22) und auf einem Server im
> > Rechenzentrum (da auf allen offenen Ports). Die Mengen derartiger
> > Pakete sind gering genug, dass meine Systeme damit keine Probleme
> > bekommen, die Absenderadressen sind aber auf beiden Systemen aus dem
> > selben Bereich (zeitgleich).  
> 
> Interessant. Wirklich stören tut es meinen Server auch nicht. Ich bin
> vor allem neugierig.
> 
> > Spricht m. E. eher dafür, dass die Systeme
> > für DDOS missbraucht werden.  
> 
> Wie ich jetzt aber nachgelesen habe, verursacht ein empfangenes SYN
> Paket unter Linux nur fünf kleine Pakete (verteilt über mehrere
> Minuten) an den vermeintlichen Absender. Das scheint mir nicht sehr
> effektiv.

Effektiv wird so etwas wenn man das auf sehr vielen Servern
gleichzeitig macht. Dann summiert sich das beim Ziel auf und stört
dort. Bei den reflektierenden Servern fallen die paar Pakete nicht ins
Gewicht.

Am Freitag kamen die Absenderadressen alle aus dem IP-Bereich eines
bulgarischen Hosting-Providers, als ich das ein paar Tage vorher mal
beobachtet hatte, kamen sie nacheinander von einzelnen Systemen aus der
Amazon Cloud.

Für so eine Art Monitoring, welche potenziellen Angriffsziele im Netz
vorhanden sind, kommen die Pakete zu häufig und eben nur an die offenen
Ports.

Günter

Back to de.comp.security.firewall | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

Viele Verbindungen im Zustand SYN_RECV Jochen Meier <gesammeltimusenet.2013@arcor.de> - 2019-10-31 19:23 +0100
  Re: Viele Verbindungen im Zustand SYN_RECV Marc SCHAEFER <schaefer@alphanet.ch> - 2019-11-01 09:19 +0100
    Re: Viele Verbindungen im Zustand SYN_RECV Günter Frenz <usenet-01@guefz.de> - 2019-11-01 13:51 +0100
      Re: Viele Verbindungen im Zustand SYN_RECV Jochen Meier <gesammeltimusenet.2013@arcor.de> - 2019-11-02 22:56 +0100
        Re: Viele Verbindungen im Zustand SYN_RECV Günter Frenz <usenet-01@guefz.de> - 2019-11-03 10:24 +0100
    Re: Viele Verbindungen im Zustand SYN_RECV Autist <autist69@gmail.com> - 2019-11-02 08:15 +0100
  Re: Viele Verbindungen im Zustand SYN_RECV Florian Weimer <fw@deneb.enyo.de> - 2019-11-01 12:33 +0100
  Re: Viele Verbindungen im Zustand SYN_RECV <dl8fbh@dl8fbh.ampr.org> - 2019-11-01 12:35 +0000
    Re: Viele Verbindungen im Zustand SYN_RECV Marc Haber <mh+usenetspam1118@zugschl.us> - 2019-11-01 15:52 +0100
      Re: Viele Verbindungen im Zustand SYN_RECV <dl8fbh@dl8fbh.ampr.org> - 2019-11-01 17:13 +0000
  Re: Viele Verbindungen im Zustand SYN_RECV Marc Haber <mh+usenetspam1118@zugschl.us> - 2019-11-01 15:51 +0100
    Re: Viele Verbindungen im Zustand SYN_RECV Ulf Volmer <u.volmer@u-v.de> - 2019-11-01 17:29 +0100
      Re: Viele Verbindungen im Zustand SYN_RECV Marc Haber <mh+usenetspam1118@zugschl.us> - 2019-11-02 12:36 +0100
        Re: Viele Verbindungen im Zustand SYN_RECV Frank Graf <f.graf@firemail.de> - 2019-11-02 17:30 +0000
          Re: Viele Verbindungen im Zustand SYN_RECV Sven Hartge <sh-19B@svenhartge.de> - 2019-11-03 00:21 +0100
        Re: Viele Verbindungen im Zustand SYN_RECV Jochen Meier <gesammeltimusenet.2013@arcor.de> - 2019-11-02 23:27 +0100
    Re: Viele Verbindungen im Zustand SYN_RECV Jochen Meier <gesammeltimusenet.2013@arcor.de> - 2019-11-02 23:05 +0100
    Re: Viele Verbindungen im Zustand SYN_RECV Sven Hartge <sh-19B@svenhartge.de> - 2019-11-03 00:20 +0100
  Re: Viele Verbindungen im Zustand SYN_RECV Thomas Noll <-_tn_-@web.de> - 2019-11-01 18:03 +0000
    Re: Viele Verbindungen im Zustand SYN_RECV Jochen Meier <gesammeltimusenet.2013@arcor.de> - 2019-11-02 23:11 +0100
      Re: Viele Verbindungen im Zustand SYN_RECV Thomas Noll <-_tn_-@web.de> - 2019-11-03 09:53 +0000
  Re: Viele Verbindungen im Zustand SYN_RECV Autist <autist69@gmail.com> - 2019-11-02 19:03 +0100

csiph-web