traffic op poort 17 de afgelopen dagen

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

Op mijn proximus internet heb ik de afgelopen 2 dagen heel wat (2.6Mb) udp (17) traffiek van 195.238.8.166:34321 naar 239.192.1.1:8002
Gezien ik begod niet weet wat het is, maar wel vermoed dat het niet leuk is, wil ik die eruit.

Toevallig staat er achter mijn proximus router een mikrotik.
Heb dan maar een mangle aangezet op udp en met de poortjes 34321 en 8002 om te packets markeren.
En dan wil ik die eruit shotten via de firewall rules (drop obv de markage op de packets).

En dit lukt toch wel niet zeker.

Iemand een idee wat die trafiek zou kunnen zijn + indien kwaadaadig, hoe ik die op een andere manier eruit jaag?
Ik begin me zo een beetje te frusteren :-(
Gebruikersavatar
mailracer
Elite Poster
Elite Poster
Berichten: 3872
Lid geworden op: 23 feb 2010, 21:03
Uitgedeelde bedankjes: 217 keer
Bedankt: 315 keer

Even de IP-adressen opgezocht, en het gaf me deze info
Addresses starting with a number between 224 and 239 are used for IP multicast. IP multicast is a technology for efficiently sending the same content to multiple destinations. It is commonly used for distributing financial information and video streams, among other things.
het adres dat begint met 195 is bij proximus geregistreerd
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

idd, het is een skynet adres en een multicast adres...
is het skynet adres niet toevallig je eigen externe ip?

also; xbox speler toevallig?
xbox live stuurt udp over poort 17 dacht ik ooit gelezen te hebben... dus als je een xbox hebt, die eens een keer uit het netwerk gooien en kijken of je dan nog die traffiek hebt.

EDIT: kan er wel niet dadelijk iets van vinden op de officiele xbox pagina. strange.
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

Ik denk niet dat het mijn eigen ip is.
Het komt nergens voor in een trace naar de google dns vanuit de mikrotik.

en ik heb geen xbox of soortgelijk speelgoed.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

jrh schreef:Ik denk niet dat het mijn eigen ip is.
snelste check: https://www.whatismyip.com/
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Op mijn proximus internet heb ik de afgelopen 2 dagen heel wat (2.6Mb) udp (17) traffiek van 195.238.8.166:34321 naar 239.192.1.1:8002
Is het niet poort 8002/udp dan?

17 is het protocolnummer van UDP.

17/udp bestaat uiteraard ook, dient voor QOTD.
Laatst gewijzigd door CCatalyst 30 mei 2017, 00:47, in totaal 2 gewijzigd.
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

81.243.75.XXX op mijn proximus lijn volgens die site.
(yup: heb nog een EDPtje liggen ook)

valt me trouwens op dat ik niet meer aan mijn proximus modem kan via het intern IP adres (192.168.1.1)
ik denk dat ik morgen die modem eens fysiek ga herstarten (want zit in een ander gebouw)

EDIT: @CCatalyst 17 is het nummer van het udp protocol in de microtik.
EDIT2: ik ga nog een paar uur slapen. morgen opnieuw een werkdag & dan kan ik nog verder zoeken :-(
Laatst gewijzigd door jrh 30 mei 2017, 00:52, in totaal 1 gewijzigd.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

jrh schreef: EDIT: @CCatalyst 17 is het nummer van het udp protocol in de microtik.
Komt dat verkeer dan op poort 17 of 8002 aan?

Indien 17: https://qotdscan.shadowserver.org - probes voor UDP spoofed QOTD amplification DDoS attacks - zie ik ook in mijn logs (zowel van shadowserver als van een Russische hacker).
Indien 8002: kan vanalles zijn, heb ik zelf niet in mijn logs staan recent

Hou er rekening mee dat de source adressen spoofed kunnen zijn, dus niet noodzakelijk juist.
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

het verkeer komt aan op 8002 (destination port) en volgt volgens de mikrotik het IP protocol 17/udp
Kan ik hier een screenshot opladen? is 10x zo duidelijk ;-)
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Google search leert dat het hier over een adres van Proximus TV gaat, mogelijks toebehorend aan het relatief obscure kanaal Al Oula.

Als je die pakketjes eens zou tcpdumpen kan dat best wel iets opleveren. Kijkcijferfraude/advertentiefraude/phishy/...
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

@CCatalyst: ok, doe ik morgen. lijkt me toch maar iets speciaals.

EDIT: 8h00 - wat ik dus al weet / wat me opgevallen is...

bescrhijving:
de 2.6MB/s traffiek komt binnen via BGC, loopt over mijn mikrotik-VLAN-trunk (aggregatie omdat het jammergenoeg toekomt in ander gebouw) naar de volgende mikrotik om te onttrunken en dan in de load-balancer (en nog een mikrotik). Daar stopt de trafiek.

de trafiek komt nu van een ander IP en andere poort, maar heeft nog steeds als bestemming 239.221.1.1:8002 en gebruikt nog steeds het IP protocol 17/upt

De loadbalancer en trunking werken al jaren (sinds 2014) prima, dus ik zoek daar even niet.

EDIT: iets later
Ik denk dat het idd TV signaal is en dat er iets veranderd is aan de proximus configuratie de afgelopen dagen. (en dat ik het gemist heb op de een of andere manier). Blijft toch bizar om non-stop een paar megabit trafiek te hebben op dat circuit, zonder dat een toestel het bewust vraagt. :bang:
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

jrh schreef: EDIT: iets later
Ik denk dat het idd TV signaal is en dat er iets veranderd is aan de proximus configuratie de afgelopen dagen. (en dat ik het gemist heb op de een of andere manier). Blijft toch bizar om non-stop een paar megabit trafiek te hebben op dat circuit, zonder dat een toestel het bewust vraagt. :bang:
Ik ben zelf geen klant van Proximus internet/TV dus misschien kan iemand anders hier meer duidelijk geven, maar dit lijkt me toch wel enorm bizar.

Mijn indruk is dat het precies een (low-quality) A/V-stream is (ofwel high-quality audiostream), maar erg vreemd dat het het TV-station als bestemming heeft ipv omgekeerd. Ook de wisselende bron van het verkeer, die wel op een ASN van Proximus zit maar niet op je eigen netwerk roept heel wat vraagtekens op. Maar gezien UDP kan dat ook gespoofed zijn.

Je zou toch echt eens een paar seconden moeten dumpen - in de veronderstelling dat het niet geëncrypteerd is - om te zien of het iets anders is dan dat. En sowieso moet je asap uitklaren wat hier precies gaande is, want het is niet per se onschuldig allemaal (kan fraude zijn, DDoS of erger). Als het effectief over Al Oula gaat is er immers ook een Islamitische connectie.
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16726
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 573 keer
Bedankt: 770 keer

Splitter schreef:
jrh schreef:Ik denk niet dat het mijn eigen ip is.
snelste check: https://www.whatismyip.com/
Beter/nuttiger: http://ip.userbase.be ;)
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

meon schreef:
Splitter schreef:
jrh schreef:Ik denk niet dat het mijn eigen ip is.
snelste check: https://www.whatismyip.com/
Beter/nuttiger: http://ip.userbase.be ;)
mijn link gebruikt tenminste https! :angel:

also: jouw link werkt niet?
Illegal use of $_SERVER. You must use the request class or request_var() to access input data. Found in /var/www/userbase.be/v3.userbase.be/_pages/services_ip.inc.php on line 10. This error message was generated by deactivated_super_global.

Breng de forumbeheerder of sitebeheerder op de hoogte: [email protected]
Gebruikersavatar
mailracer
Elite Poster
Elite Poster
Berichten: 3872
Lid geworden op: 23 feb 2010, 21:03
Uitgedeelde bedankjes: 217 keer
Bedankt: 315 keer

Splitter schreef:also: jouw link werkt niet?
toch wel, hier werkt het
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

mailracer schreef:
Splitter schreef:also: jouw link werkt niet?
toch wel, hier werkt het
jep, ik en meon hebben de oorzaak al gevonden: ik ben een specialleke zoals ik altijd al wist :banana:
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

jrh schreef:de 2.6MB/s traffiek komt binnen via BGC
Bijna 21 Mbps dus... dat is al deftige 4K TV dat je hiermee kan doen...
CCatalyst schreef:Mijn indruk is dat het precies een (low-quality) A/V-stream is (ofwel high-quality audiostream)
Geen idee dus hoe je tot de conclusie komt van low-quality ?
Gebruikersavatar
James.
Premium Member
Premium Member
Berichten: 563
Lid geworden op: 20 okt 2008, 19:56
Uitgedeelde bedankjes: 14 keer
Bedankt: 32 keer

OP zei eerst 2,6Mb, daarna 2,6MB/s. Wat is het nu, OP?
blaatpraat
Elite Poster
Elite Poster
Berichten: 1300
Lid geworden op: 10 jan 2014, 12:09
Uitgedeelde bedankjes: 32 keer
Bedankt: 103 keer

meon schreef:
Splitter schreef:
jrh schreef:Ik denk niet dat het mijn eigen ip is.
snelste check: https://www.whatismyip.com/
Beter/nuttiger: http://ip.userbase.be ;)
Offtopic in deze thread, maar reply hierop:
Werkt hier niet:
Illegal use of $_SERVER. You must use the request class or request_var() to access input data. Found in /var/www/userbase.be/v3.userbase.be/_pages/services_ip.inc.php on line 10. This error message was generated by deactivated_super_global.
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

@james : 2.6 Mbps. Zeker geen 4K stream. Ter vergelijking, een belgacom TV steam (720p ?) neemt 6.3 Mbps in.

De stream is nog niet weg. Toch maar een bizar iets.
Nog geen idee wat de inhoud is van het protocol (op microtik is er geen automatische content labeling zoals op ethereal/wireshark.

Voorbeeld van een "een package content" :

Code: Selecteer alles

0000: 45 88 05 4c 00 00 40 00  19 11 9e b3 c3 ee 08 b6  E..L..@. ........
0010: ef c0 01 01 df a4 1f 42  05 38 8c 22 80 21 67 e3  .......B .8.".!g.
0020: 70 ca 81 74 2c 6e ff 29  47 01 f4 15 69 a6 5a 70  p..t,n.) G...i.Zp
0030: 98 c4 63 a6 ff 29 33 c0  e3 7f 35 6d f4 24 84 5a  ..c..)3. ..5m.$.Z
0040: 57 18 a5 62 27 a1 85 bb  79 d2 2a ee 69 6b 6c 1f  W..b'... y.*.ikl.
0050: c2 34 ad 9b 30 ff da 7f  43 37 c2 75 a2 a3 17 44  .4..0... C7.u...D
0060: e1 50 8b f7 d4 27 4a 1e  a8 02 06 53 cf f5 1e 0c  .P...'J. ...S....
0070: 86 0d e0 40 dc 54 ae 7f  d8 bc 6c 4f 91 51 26 2a  [email protected].. ..lO.Q&*
0080: 8e 1c f4 aa e1 0c a3 0f  d3 13 b1 6d 1d fd 0f ce  ........ ...m....
0090: 8c 39 a3 6b ed 04 65 60  b9 e6 e5 32 a6 98 ac d7  .9.k..e` ...2....
00a0: 08 c5 29 44 e5 1d 27 24  2e 5d a8 4c 60 77 af d7  ..)D..'$ .].L`w..
00b0: b8 5a aa 51 9d 63 eb c7  1d 42 e4 2d 78 a4 99 5a  .Z.Q.c.. .B.-x..Z
00c0: 15 d9 23 6e 07 e0 64 e8  a1 42 a0 f1 c3 b0 23 37  ..#n..d. .B....#7
00d0: 84 2d ea 2d 09 8a d6 aa  51 89 5b e4 45 93 12 17  .-.-.... Q.[.E...
00e0: b2 3a 59 ff 47 01 f4 96  cc 62 f8 3f ca 43 49 01  .:Y.G... .b.?.CI.
00f0: b8 8d db 72 03 23 3e c2  96 6d 25 ba 4d 8e 9e d2  ...r.#>. .m%.M...
0100: 78 d0 b4 d6 6f ac f4 aa  7c f3 63 5f 4b 4f 8d 83  x...o... |.c_KO..
0110: ba 40 4d 3a e7 d3 a2 6e  df 96 61 0d 78 31 5b 49  .@M:...n ..a.x1[I
0120: 65 5e 8d 19 db 82 9b 96  5a e7 df c6 04 19 53 ca  e^...... Z.....S.
0130: 03 18 97 2e a3 6c a1 cd  21 3f 89 d5 fa 66 82 d4  .....l.. !?...f..
0140: 97 fe e0 65 db e2 9f 08  cd b2 3d e0 2b 6c d1 b8  ...e.... ..=.+l..
0150: 5b d4 0f 5e 14 95 1f 17  eb 0f 35 4c ec b2 ec bd  [..^.... ..5L....
0160: 1f 58 86 ce b9 eb 57 d0  ba 50 76 67 de 50 7e ea  .X....W. .Pvg.P~.
0170: 1f 77 be b1 1c 85 30 d0  c0 c2 8a b9 b8 91 69 88  .w....0. ......i.
0180: 50 9f fe 63 3d b6 cb 33  a7 35 40 42 a6 94 23 40  P..c=..3 .5@B..#@
0190: f1 35 24 a4 e0 5a b2 4b  d6 53 c3 f2 33 7d ce dd  .5$..Z.K .S..3}..
01a0: 47 01 f4 17 67 ac ec 85  a3 53 b6 15 ad 62 55 b6  G...g... .S...bU.
01b0: db e5 76 d0 86 84 94 86  87 f4 56 93 17 f8 e6 ed  ..v..... ..V.....
01c0: 9f 8a 40 8f c3 bb ab 41  86 c7 0f a1 68 fc c4 ac  [email protected] ....h...
01d0: 6c 8e f1 50 cf e1 2e ff  0c 3e 03 cf 0f 1c b4 1f  l..P.... .>......
01e0: 26 77 76 6d 9a cf eb e1  da be a4 39 86 92 86 ee  &wvm.... ...9....
01f0: b9 d3 7b 31 b7 15 3a 7f  dc bf 34 98 95 65 34 1c  ..{1..:. ..4..e4.
0200: 2a 11 e0 bd 6f 55 5f f4  80 ee e0 ea 1d 66 3f 7a  *...oU_. .....f?z
0210: d2 d6 58 4d 5a f9 44 ce  a2 30 cc c1 78 96 ce 61  ..XMZ.D. .0..x..a
0220: 79 08 07 5b 36 a9 1b e3  84 b5 b7 26 c4 05 e3 b1  y..[6... ...&....
0230: d3 a1 61 83 cf 51 04 cd  12 fc d9 f7 10 9a 40 40  ..a..Q.. ......@@
0240: 68 15 1a 51 88 71 ba 41  91 eb 66 6e 14 ac 6d c6  h..Q.q.A ..fn..m.
0250: d8 c9 f6 35 b2 49 90 c6  b8 aa 97 b6 47 1f ff 10  ...5.I.. ....G...
0260: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
0270: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
0280: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
0290: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02a0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02b0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02c0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02d0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02e0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02f0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
0300: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
0310: 00 00 00 00 00 00 00 00  47 01 f4 98 06 7e 80 6b  ........ G....~.k
0320: 0c e0 ec d1 ef 64 79 98  3f e1 b6 8a f8 31 64 ff  .....dy. ?....1d.
0330: 5d 7c 8e 29 3b 1e 5d d6  9f d7 d4 c1 11 32 08 32  ]|.);.]. .....2.2
0340: 4d a8 2a f7 e2 86 b2 17  d5 18 3f 95 a6 0c 47 9e  M.*..... ..?...G.
0350: bf bb da 76 49 af 62 bb  58 7b 51 35 41 a1 2c e4  ...vI.b. X{Q5A.,.
0360: 7f 1d 76 88 5a fe d3 7c  12 2d b6 0a ad d0 7e 8a  ..v.Z..| .-....~.
0370: 77 fa cb af 8a dc fc 58  cb f3 c2 e0 2c 47 1f 60  w......X ....,G.`
0380: 83 14 5b ac 5e 01 bf 79  f1 cc fe 59 fe 2c f4 68  ..[.^..y ...Y.,.h
0390: 19 a7 47 3e 25 dc ce b7  f7 9a 22 58 11 c6 9a c0  ..G>%... .."X....
03a0: ee a2 d2 88 d7 ee 30 17  3d 82 ad 7e 74 c6 dd 69  ......0. =..~t..i
03b0: a0 eb cf 0e 9f 7e e2 c4  55 50 17 de d0 f3 66 4f  .....~.. UP....fO
03c0: d5 08 55 0e be 56 83 3c  12 9b 6f ea 0c 8f 07 8d  ..U..V.< ..o.....
03d0: 4b d3 8d cc 47 01 f4 19  ac a2 6a 3b b7 53 52 26  K...G... ..j;.SR&
03e0: 5d dd 03 04 b3 ab 9f d7  0c e5 4f 5d 21 aa 48 7f  ]....... ..O]!.H.
03f0: 05 fc 1e 2a f8 c8 bd 38  69 db fa 27 8b b4 78 30  ...*...8 i..'..x0
0400: 72 65 bf ca f3 55 e6 bd  22 d9 27 5c c4 af 45 18  re...U.. ".'\..E.
0410: ae 3a e1 aa 72 52 39 5e  c7 92 4b 51 52 16 86 91  .:..rR9^ ..KQR...
0420: 43 68 35 e9 1a c3 36 9a  da 44 53 fd 4b 62 1e fa  Ch5...6. .DS.Kb..
0430: f6 71 4e 38 be 50 59 24  8f 7a 85 ce 1f da 62 93  .qN8.PY$ .z....b.
0440: ed 42 9a f6 8d 95 56 90  5b e0 f3 b8 62 7c 5a bb  .B....V. [...b|Z.
0450: 56 66 0c f4 ef 07 e1 f8  e6 86 06 6f 05 7b 8c cd  Vf...... ...o.{..
0460: 9b 5d 56 03 13 f0 c7 01  26 ef 2f 8c 51 ba 28 0b  .]V..... &./.Q.(.
0470: e6 ad 90 e7 28 9a 8d 56  8e 0f 4f e4 e8 09 61 ea  ....(..V ..O...a.
0480: d0 c3 11 53 7f ce d6 0d  db 43 26 aa b3 94 42 80  ...S.... .C&...B.
0490: 47 02 5d 9f 7e 09 28 7a  99 17 03 e7 28 2b 68 4d  G.].~.(z ....(+hM
04a0: f6 f8 33 03 64 0f 38 50  cf 99 45 c2 c0 fb 16 c4  ..3.d.8P ..E.....
04b0: e0 ea 56 68 19 24 ab cc  a7 fa f1 b4 ba c7 01 3f  ..Vh.$.. .......?
04c0: fb b7 b4 a9 ee 0d 00 67  84 45 0b d0 65 27 0f 37  .......g .E..e'.7
04d0: f9 49 ab e7 c0 11 e4 53  05 cf 66 be a5 72 2a 2b  .I.....S ..f..r*+
04e0: 33 a0 00 4f d5 22 06 24  f4 f0 b6 36 ac aa 42 49  3..O.".$ ...6..BI
04f0: a4 0a c0 a9 c6 67 d6 90  33 3f 16 1d ab 78 8e 0e  .....g.. 3?...x..
0500: fd c8 f6 75 8c 35 7f 12  04 e9 0a e6 89 44 a9 32  ...u.5.. .....D.2
0510: 91 6a 1e c5 7a 42 e6 06  23 83 03 9c ea 44 08 18  .j..zB.. #....D..
0520: f0 ad da 88 02 95 04 d4  3c 4b ff 07 33 17 d5 bb  ........ <K..3...
0530: 15 91 8b f1 a3 03 7c f6  27 c7 e6 2a c4 2a 1e 99  ......|. '..*.*..
0540: ef 58 5a 0d c0 d8 05 dd  ae e0 42 d3              .XZ..... ..B.
axs
Moderator
Moderator
Berichten: 2630
Lid geworden op: 18 dec 2010, 11:56
Uitgedeelde bedankjes: 445 keer
Bedankt: 221 keer

Toevallig niks met een ingebouwde cam/microfoon? (TV/scherm/...)
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

@:axs : dat ben ik aan het uitzoeken. (*) Er is enkel mijn camera systeem, maar dat zal toch wel zonder mijn toestemming zijn & ook op het ogenblik dat de rj45 uitgetrokken is... (dit laatste heb ik getest)

(*) eerder morgen: iets te veel werk deze avond :beerchug:
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

jrh schreef:Nog geen idee wat de inhoud is van het protocol (op microtik is er geen automatische content labeling zoals op ethereal/wireshark.
Je kan je Mikrotik gewoon laten streamen naar Wireshark... https://wiki.mikrotik.com/wiki/Ethereal/Wireshark
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

r2504 schreef:Je kan je Mikrotik gewoon laten streamen naar Wireshark... https://wiki.mikrotik.com/wiki/Ethereal/Wireshark
top idee. probeer ik straks eens. :bdaysmile:

wat ook op mijn lijstje stond was alle kabels één voor één uittrekken tot de trafiek wegvalt. niet het leukst / handigst, maar ook effectief :angel:
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Zeer effectief om snel te vinden van waar het binnenkomt; daarna kan je dan gericht beginnen zoeken :-)
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

Gevonden ! :banana: :banana: :banana:

traffiek was van microtik zelf afkomstig.
blijkbaar stond de NTP server aan (??), op multicast.


Bedankt voor jullie hulp!
Ondertussen heb ik ook leren de traffiek redirecten van mijn mikrotik naar wireshark :bdaysmile:
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

jrh schreef:blijkbaar stond de NTP server aan (??), op multicast.
Een NTP server op Mikrotik... zie ik er zo hard naast dan maar ik zie dat bij mij niet ?

Ik kan enkel een SNTP Client vinden.
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

menu system, NTP client en NTP server.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Bizar... ik heb enkel SNTP Client. Welke versie van Routerboard draai je ?

Edit: blijkbaar is dit een package die je apart moet installeren.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Eigen NTP server? 2.6 Mbps aan NTP verkeer? UDP?

Onbeschermde UDP-based NTP servers zijn het favoriete doelwit voor DDoS Amplification Attacks.
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

@Ccatalyst daarom ook dat ik weten wou wat het was. Blijkbaar had ik het aangezet en vergeten uitzetten in een onbezonnen moment tijdens het upgraden van de firmware. :bang:
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Dat het aanstaat is één ding... maar je moet je wel eens afvragen waarom het van buitenaf bereikbaar was ?

Ik zou me dus even zorgen maken over je firewall rules (Mikrotik vraagt in dat opzicht wel de nodige kennis/aandacht !)
jrh
Member
Member
Berichten: 56
Lid geworden op: 14 maa 2013, 23:56
Uitgedeelde bedankjes: 26 keer

@r2504: Je hebt gelijk. Dat gezegd zijnde: ik denk eerder dat het van binnen naar buiten ging & gestopt werd 3 stappen (=op de firewall) verder ipv omgekeerd.

De router die dat had aanstaan was een interne load balancing & routeringsbox welke enkel dient om me een hogere surfsnelheid te geven.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Toch wel bizar hoor :???:

Nu ja, goed dat het opgelost is.

En inderdaad, goed firewall controleren. Hackers zitten voortdurend het internet af te scannen naar open UDP poorten om die te misbruiken. Zeker naar NTP omdat dat de beste amplification attack is, als je zoiets vandaag publiek hebt open staan mag je er zeker van zijn dat dat binnen minder dan een maand al deel is van een DDoS attack, maar andere protocols zijn ook doelwit.
Plaats reactie

Terug naar “Netwerken en Security”