Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 10 Nächste Version anzeigen »

Tag Attack.Portscan

Kurzinfo

Rechner, die viele Rechner oder viele Ports kontaktiert haben.

Treffsicherheit

Hoch, außer bei Adreß-Spoofing.

Da bei Portscans, zumindest wie sie uns berichtet werden, in der Regel keine Verbindung (insb. 3-Way-Handshake) zustande kommt, sind diese Hinweise auf Adreß-Spoofing anfällig. Das ist im Einzelfall anhand z.B. von Flow-Records nachzuprüfen.

Fehldiagnosen wegen interner Überprüfungen (Nagios, Nessus, etc...) sind unwahrscheinlich, da die hier gemeldeten Beobachtungen von Netzen außerhalb des ACOnet stammen.

Beschreibung

Verbindungsversuche mit vielen Ports eines Rechners oder dem selben Port vieler Rechner sind ein Hinweis darauf, daß jemand mögliche ziele für Angriffe erkundet oder bereits einen Angriff versucht.

Häufig sehen wir Scans nach port 445 durch Bots wie z.B. Conficker, die sich zu verbreiten versuchen, port 22 bei Einbruchsversuchen mittels schwacher Paßwörter auf ssh, neuerdings auch Remote Desktop Protocol (port 3389).

Regelmäßig sind die Rechner, von denen derartige Aktivitäten ausgehen, von Malware befallen oder weisen einen kompromittierten Account oder haben verwundbare PHP-Scripts auf.

Erfahrungen

(bisher keine Erfahrungsberichte verfügbar)

  • Keine Stichwörter