FTP Angriffe

greystone

greystone

Active Member
Also irgendwie kommen hier gerade recht viele Angriffe auf FTP-rein. Keine Logins aber jetzt Menge Päckchen. Brav aufgeteilt auf verschiedenste QuellIPs(ca. 1000):

Code: 
iptables -I INPUT 1 -p tcp --syn -j LOG

Code: 
Nov  1 18:00:51 server kernel: [14188.976394] IN=eth0 OUT= MAC=16:16:74:3d:b7:11:00:0b:be:0a:ef:80:08:00 SRC=95.131.184.57 DST=1.1.1.1 LEN=40 TOS=0x00 PREC=0x00 TTL=40 ID=16312 DF PROTO=TCP SPT=80 DPT=21 WINDOW=8192 RES=0x00 SYN URGP=0

Die letzten 30 Minuten:
Code: 
fgrep DPT=21  kern.log | wc -l
15377
 
Last edited by a moderator:
Kommen die alle von Port 80 oder generell von Ports kleiner 1024?
Dann ist das vermutlich ein SYN-ACK-Flood - jemand versucht also mittels gespoofeter SYN-Pakete den vermeintlichen Absender durch brachial hohe Paketraten aus dem Internet zu werfen.
Der Trick dabei ist, dass auf ein SYN-Paket in der Regel mit mindestens 3 SYN-ACKs geantwortet wird (eventuell noch mehr), falls die Gegenstelle sich nicht mehr meldet.

Nachtrag: Ich kann das auf meinen Systemen auch sehen, da wird das allerdings durch die Firewall aufgegessen, weil die Anfragen von einem Source-Port < 1024 kamen.

Nachtrag 2: Yep, ist mit hoher Wahrscheinlichkeit ein DDoS gegen williamhill co uk - das ist offenbar ein Wettanbieter für Fußballwetten. Und heute ist in England ein Championsleague-Spiel :rolleyes:
 
Last edited by a moderator:
Da glaube ich eher nicht dran.
In dem Thread ist es eigentlich evident, dass der eingesetzte FTP-Client in der verwendeten Version offenbar kaputt ist, da es mit anderen Clients zum selben Server funktioniert.
Außerdem dürften die paar SYN-Pakete die da pro IP kommen das System nicht ernsthaft stören (selbst ohne SYN-Cookies dürfte da kein Problem auftreten) und zudem laufen resp. liefen die Attacken ja nicht schon seit mehreren Tagen.
 
You must log in or register to reply here.
Back
Top