Nieuws

Verdubbeling aanvallen poort 8080

woensdag 17 oktober 2012, 14:29 door Redactie, 7 reacties

Poort 445 is nog altijd de meest aangevallen poort op het internet, maar het aantal aanvallen is aan het afnemen. Ging het in het eerste kwartaal van 2012 nog om 42% van alle aanvallen, in het tweede kwartaal van dit jaar daalde dit naar 32%. Ook het aantal aanvallen op poort 23, Telnet, daalde met zo'n twee procent. De Top 10 van meest aangevallen poorten kreeg in de eerste drie maanden 77% van de aanvallen te verduren, terwijl dit in april, mei en juni naar 62% daalde.

Verdubbeling
Alleen poortnummers 8080, 135 en 139, respectievelijk voor HTTP, Microsoft RPC en NetBIOS, zagen een stijging, waarbij het aantal aanvallen over poort 8080 meer dan een verdubbelde.

Volgens internetbedrijf Akamai, dat de cijfers via het State of the Internet rapport in kaart bracht, zijn er geen aanwijzingen dat nieuwe aanvallen of kwetsbaarheden voor de verdubbeling van poort 8080 verantwoordelijk zijn.

Hackers misbruiken zero-day gemiddeld 10 maanden

'ING security-tool geeft vals gevoel van veiligheid'

Reacties (7)

17-10-2012, 14:47 door SirDice

Ik vind "aanval" in deze context totaal niet kloppen (ook niet bij vergelijkbare staatjes). Omdat er een SYN pakketje is gedetecteerd op een firewall betekent het nog niet dat het om een aanval gaat.

17-10-2012, 15:27 door Anoniem

SirDice
Helemaal mee eens.

Zo wie zo vind ik die cijfers van virussen, aanvallen enz. enz. een onzin.

17-10-2012, 16:58 door Anoniem

een syn packje wordt meestal niet gelogd, en zeker niet op een drukke firewall, die resources worden immers beter voor andere dingen gebruikt. de meeste OS'en zulleen alleen loggen bij een volledige 3 way handshake...

3 way handshake:
--> syn
<-- syn ack
--> ack
log!
--> rst

half open scan (een nmap) -sS wordt niet gelogd
--> syn
<-- syn ack
--> RST

aight

raar dat jullie dit onzin vinden, war baseren jullie de feiten op om dit omzin te noemen?

17-10-2012, 18:04 door SirDice

Door Anoniem: raar dat jullie dit onzin vinden, war baseren jullie de feiten op om dit omzin te noemen?

Waar baseer jij je op dat ik het "onzin" noem?

Ik zeg alleen dat ik dit geen aanvallen vind maar connectie pogingen. En daar zit toch echt een groot verschil in.

18-10-2012, 05:22 door Anoniem

Mjah is dit niet gewoon een scan om actieve proxies te vinden? 8080 verzorgt namelijk meestal dit soort diensten. Aanval is dan wel een groot woord...

18-10-2012, 09:55 door WhizzMan

Het originele rapport zit achter een registratieding, dus je zal wat moeite moeten doen om het te lezen. Ik ga er van uit dat Akamai wel enige moeite heeft gedaan om het verkeer als "aanval" te betitelen en niet alle pakketjes die ze binnen krijgt op 1 hoop te gooien (dan zal er voor meer dan 99,9% HTTP bij zitten namelijk). Een bedrijf als Akamai heeft genoeg servers en IPadressen om min of meer zinvolle statistiek te kunnen uitvoeren op alle verkeer die ze krijgen die niet direct de dienst zelf betreft.

Als je verkeer krijgt op poort 445 op een unix server die alleen maar webpagina's serveert, weet je redelijk zeker dat het niet bedoeld is om die webpagina's op te halen. Daarvoor hoef je dus geen volledige verbinding op te bouwen, maar is een SYN pakketje echt wel genoeg. Je kan niet eens een verbinding opbouwen als er geen software naar die poort luistert. Het zelfde geldt min of meer ook wel voor de andere poortnummers die hier "hoog scoren".

Waar ik zelf van uitga is dat dit voor meer dan 99% geautomatiseerde aanvallen zijn, want iemand die een klein beetje nadenkt gaat geen aanvallen voor Windows desktop machines proberen op het serverpark van Akamai. Zeer waarschijnlijk zijn dit besmette of gehackte servers die automatisch op grote schaal proberen andere machines te vinden om te infecteren.

18-10-2012, 10:39 door SirDice

Door WhizzMan: Als je verkeer krijgt op poort 445 op een unix server die alleen maar webpagina's serveert, weet je redelijk zeker dat het niet bedoeld is om die webpagina's op te halen. Daarvoor hoef je dus geen volledige verbinding op te bouwen, maar is een SYN pakketje echt wel genoeg. Je kan niet eens een verbinding opbouwen als er geen software naar die poort luistert.

En dus kun je ook niet over een "aanval" spreken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer