Abuse Melding

Je hebt een klacht over de onderstaande posting:

11-02-2014, 09:58 door Anoniem

Ik zie sinds dit weekend op een aantal webservers iets wat waarschijnlijk bedoeld is als een reflectie attack. Er komen voortdurend SYN packets binnen vanaf hetzelfde adres met source port 80 of 443 en destination port 80. De server gaat daar uiteraard (of ging, ik heb het inmiddels gefilterd) SYN ACK op terug sturen naar dat afzender adres, maar dat is wellicht gespoofed. De SYN packets komen een of enkele per seconde binnen zonder backoff, dus duidelijk malicious. Ik heb ook wat experimenten gezien waarbij er steeds een ander source port nummer gebruikt werd, maar de kiddies hebben zich waarschijnlijk gerealiseerd dat dit niks uithaalt omdat het slachtoffer natuurlijk een firewall heeft die die packets aan allerlei hoge poorten gewoon blokkeert. Nouja met een stateful firewall worden die SYN ACKs natuurlijk ook geblokkeerd maar wellicht is er toch overlast. Een modern systeem raakt ook niet meer overbelast door een serie SYN packets dus van die 2e variant had ik verder geen last. Toch maar wel een ...

Beschrijf je klacht (Optioneel):

captcha