Cisco heeft het afgelopen weekend een grote piek gezien in het verkeer op TCP-poort 0, wat mogelijk een voorbode van een aanval is, zo waarschuwt de netwerkgigant. TCP-poort 0 is een gereserveerde poort die volgens de Request for Comments (RFC) niet gebruikt zou moeten worden.

"Klanten die activiteit op poort 0 op hun netwerk zien moeten het verkeer als verdacht beschouwen en de bron onderzoeken", zegt Cisco's Craig Williams. Hij merkt op dat poort 0-verkeer op een verkenningsaanval kan wijzen en mogelijk een voorbode van een serieuzere aanval is.

Verkeer

Het verkeer kan daarnaast worden gebruikt om netwerkbeveiligingsapparaten te identificeren. Verschillende netwerkapparatuur zal op dit afwijkende verkeer anders reageren, en een aanvaller kan op die manier proberen te achterhalen welke apparaten het doelwit gebruikt om zijn netwerk mee te beschermen.

Ook verschillende besturingssystemen reageren anders op poort 0, wat de aanvaller ook kan helpen bij het voorbereiden van een aanval op het netwerk, merkt Williams op, die verder stelt dat klanten op deze activiteit alert moeten zijn.

"We kennen niet de bedoeling van deze pakketten. Het kan een eenvoudig onderzoeksproject zijn om een deel van het internet aan de hand van besturingssysteem en service pack in kaart te brengen, of het kan een aanvaller zijn die iets kwaadaardigs aan het voorbereiden is." Gebruikers krijgen dan ook het advies om het verkeer naar poort 0 op hun firewall te blokkeren.