Stavo guardando il mio record di registro ufw quando ho trovato questa riga:
169.229.3.91 - - [19/Feb/2016:13:21:52 +0100] "\xCEA\x81\xCF\x02\x03\xFCAm\xB8\xBF]1\xBE~0^\xCD\xA9\x05(\x8D'\xD9\x9D\x9D\x9C\x15m" 400 166 "-" "-"
È un tentativo di hacking?
Is this a hack attempt ?
Questa è una ricerca effettuata dall'Università della California a Berkeley :
This is a research scanning machine from the University of California at Berkeley. This machine regularly conducts scans of the entire Internet so you may have been scanned as part of an ongoing research project.
The primary contact for this project is Bill Marczak (wrm at icsi dot berkeley dot edu) and the advisor for the project is Vern Paxson.
If you have been or are currently being scanned and would like to opt out, please email wrm at icsi dot berkeley dot edu with the IP ranges you would like to exclude in CIDR format.
If you have been or are currently receiving DNS requests, ICMP echoes, or TCP SYNs and would like to opt out, please email bjones99 at gatech dot edu with the IP ranges you would like to exclude in CIDR format.
Per quanto riguarda la tua domanda, supponendo che la scansione non sia compromessa, allora non penso che sia un tentativo di hacking. Probabilmente è solo un assegno per vedere se sei stato violato.
In molti paesi, condurre scansioni che tentano di hackerare macchine casuali è illegale. Un'università ben nota e ben nota non riuscirà a farla franca con la violazione della legge su scala così epica.
Puoi disattivare le scansioni se lo desideri, oppure bloccare i loro scanner nel firewall. Alla fine ho elencato gli indirizzi scanner aggiuntivi.
È certamente possibile che stiano tentando di valutare se la tua macchina è stata infettata da un particolare ceppo di malware. Questo non è lo stesso di un tentativo di hacking. Esistono motivi di ricerca legittimi per sapere se una macchina è infetta da qualche tipo di malware endemico.
Quando leggi un articolo nelle notizie che indica quanti computer in tutto il mondo sono infettati da determinati tipi di malware, da dove pensi che ottengano i numeri? Scanner come questi sono uno dei tanti modi per ottenere tali dati.
Di seguito è riportato un elenco di altri indirizzi che usano
169.229.3.90 - researchscan0.eecs.berkeley.edu
169.229.3.91 - researchscan1.eecs.berkeley.edu
169.229.3.92 - researchscan2.eecs.berkeley.edu
169.229.3.93 - researchscan3.eecs.berkeley.edu
169.229.3.94 - researchscan4.eecs.berkeley.edu
Ho contattato i responsabili e questa è la loro risposta:
We are performing a measurement study of a particular phenomenon on the Internet. To accurately asses the behavior we're performing a daily scan of the IPv4 space by sending a single benign packet to every IP on port 80 consisting of 64 random bytes of data. [...] No, we are not attempting to gain unauthorized access. [...] It's simply randomly generated data that conforms to a certain set of criteria.
Il documento di Vern Paxson del 2015 è intitolato "Lente temporali e sua applicazione negli attacchi denial-of-service".
Abstract—We introduce temporal lensing: a technique that concentrates a relatively low-bandwidth flood into a short, high- bandwidth pulse. By leveraging existing DNS infrastructure, we experimentally explore lensing and the properties of the pulses it creates. We also empirically show how attackers can use lensing alone to achieve peak bandwidths more than an order of magnitude greater than their upload bandwidth. While formidable by itself in a pulsing DoS attack, attackers can also combine lensing with amplification to potentially produce pulses with peak bandwidths orders of magnitude larger than their own
Prendi ciò che vuoi, la sua ricerca è chiaramente nella parte offensiva dello spettro. Se qualcuno è infastidito abbastanza, non esitate a contattare il Comitato di Conformità, Responsabilità, Rischio ed Etica (CARE) di Berkeley all'indirizzo [email protected] o (tramite link )
Antony McKnight, Compliance Officer
Office of Ethics, Risk and Compliance Services
Office of the Chancellor
Si noti che questa risposta è volutamente fatta dalla comunità wiki poiché contiene informazioni secondarie che non possono essere inserite in un commento. Mark Buffalo è stato il primo a scoprire la natura della scansione e IMHO dovrebbe avere la sua risposta upvoted & accettato.
Aggiornamento : i suoi finanziatori sono interessanti p>
link : NSF (CNS-1111672) | DHS / ARL (W911NF-05-C-0013)
link : NSF (1223717, 1518918, 1540066, 1518882)
link : NSF (1213157, 1111672, 1237265)
link : DHS (N66001-12-C-0128), NSF (CNS-1111672, CNS-1237265, CNS-1213157)
A quanto sembra, questa ricerca è finanziata dal DHS, quindi non trattenere il respiro mentre aspetti la conformità di Berkeley & Squadra di etica da calciare.
La sovvenzione corrente in cui si trova sembra essere "II-Nuovo: abilitazione dell'analisi della sicurezza in scala"
This project will provide the computing equipment through an infrastructure grant that will enable greater capability for analysis of empirical social and economic phenomena, mediated in cyberspace such as, for example, massive online social networks, malicious web content, and underground cybercrime markets. The popular online sites like Facebook and Twitter connect literally billions of people; however, entirely new threats to such sites have emerged driven by cybercrime. In the absence of effective defenses, online social ecosystems today suffer. The empirical study of these threats and mitigating strategies in today's enormous web infrastructure requires a highly scalable and capable cyber infrastructure. Better understanding these complex cyber ecosystems, made possible through this equipment grant, will lead to new insights for making cyberspace safer.
Se me lo chiedi, questo astratto odora il totale BS. Scansionare l'intero Internet con pacchetti artigianali! = Rendere il cyberspazio più sicuro.
Leggi altre domande sui tag log-analysis