image

Verdubbeling aanvallen poort 8080

woensdag 17 oktober 2012, 14:29 door Redactie, 7 reacties

Poort 445 is nog altijd de meest aangevallen poort op het internet, maar het aantal aanvallen is aan het afnemen. Ging het in het eerste kwartaal van 2012 nog om 42% van alle aanvallen, in het tweede kwartaal van dit jaar daalde dit naar 32%. Ook het aantal aanvallen op poort 23, Telnet, daalde met zo'n twee procent. De Top 10 van meest aangevallen poorten kreeg in de eerste drie maanden 77% van de aanvallen te verduren, terwijl dit in april, mei en juni naar 62% daalde.

Verdubbeling
Alleen poortnummers 8080, 135 en 139, respectievelijk voor HTTP, Microsoft RPC en NetBIOS, zagen een stijging, waarbij het aantal aanvallen over poort 8080 meer dan een verdubbelde.

Volgens internetbedrijf Akamai, dat de cijfers via het State of the Internet rapport in kaart bracht, zijn er geen aanwijzingen dat nieuwe aanvallen of kwetsbaarheden voor de verdubbeling van poort 8080 verantwoordelijk zijn.

Reacties (7)
17-10-2012, 14:47 door SirDice
Ik vind "aanval" in deze context totaal niet kloppen (ook niet bij vergelijkbare staatjes). Omdat er een SYN pakketje is gedetecteerd op een firewall betekent het nog niet dat het om een aanval gaat.
17-10-2012, 15:27 door Anoniem
SirDice
Helemaal mee eens.

Zo wie zo vind ik die cijfers van virussen, aanvallen enz. enz. een onzin.
17-10-2012, 16:58 door Anoniem
een syn packje wordt meestal niet gelogd, en zeker niet op een drukke firewall, die resources worden immers beter voor andere dingen gebruikt. de meeste OS'en zulleen alleen loggen bij een volledige 3 way handshake...

3 way handshake:
--> syn
<-- syn ack
--> ack
log!
--> rst

half open scan (een nmap) -sS wordt niet gelogd
--> syn
<-- syn ack
--> RST

aight


raar dat jullie dit onzin vinden, war baseren jullie de feiten op om dit omzin te noemen?
17-10-2012, 18:04 door SirDice
Door Anoniem: raar dat jullie dit onzin vinden, war baseren jullie de feiten op om dit omzin te noemen?
Waar baseer jij je op dat ik het "onzin" noem?

Ik zeg alleen dat ik dit geen aanvallen vind maar connectie pogingen. En daar zit toch echt een groot verschil in.
18-10-2012, 05:22 door Anoniem
Mjah is dit niet gewoon een scan om actieve proxies te vinden? 8080 verzorgt namelijk meestal dit soort diensten. Aanval is dan wel een groot woord...
18-10-2012, 09:55 door WhizzMan
Het originele rapport zit achter een registratieding, dus je zal wat moeite moeten doen om het te lezen. Ik ga er van uit dat Akamai wel enige moeite heeft gedaan om het verkeer als "aanval" te betitelen en niet alle pakketjes die ze binnen krijgt op 1 hoop te gooien (dan zal er voor meer dan 99,9% HTTP bij zitten namelijk). Een bedrijf als Akamai heeft genoeg servers en IPadressen om min of meer zinvolle statistiek te kunnen uitvoeren op alle verkeer die ze krijgen die niet direct de dienst zelf betreft.

Als je verkeer krijgt op poort 445 op een unix server die alleen maar webpagina's serveert, weet je redelijk zeker dat het niet bedoeld is om die webpagina's op te halen. Daarvoor hoef je dus geen volledige verbinding op te bouwen, maar is een SYN pakketje echt wel genoeg. Je kan niet eens een verbinding opbouwen als er geen software naar die poort luistert. Het zelfde geldt min of meer ook wel voor de andere poortnummers die hier "hoog scoren".

Waar ik zelf van uitga is dat dit voor meer dan 99% geautomatiseerde aanvallen zijn, want iemand die een klein beetje nadenkt gaat geen aanvallen voor Windows desktop machines proberen op het serverpark van Akamai. Zeer waarschijnlijk zijn dit besmette of gehackte servers die automatisch op grote schaal proberen andere machines te vinden om te infecteren.
18-10-2012, 10:39 door SirDice
Door WhizzMan: Als je verkeer krijgt op poort 445 op een unix server die alleen maar webpagina's serveert, weet je redelijk zeker dat het niet bedoeld is om die webpagina's op te halen. Daarvoor hoef je dus geen volledige verbinding op te bouwen, maar is een SYN pakketje echt wel genoeg. Je kan niet eens een verbinding opbouwen als er geen software naar die poort luistert.
En dus kun je ook niet over een "aanval" spreken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.