Host che invia enormi quantità di pacchetti TCP / IP con flag RA: parte di DDoS Attack?

Naviga le tue risposte
1

Ho un host sulla rete che tenta di inviare pacchetti TCP / IP a vari server. La porta DST è sempre 80 o 443 e i flag impostati sono RST e ACK. Questi pacchetti sono bloccati dal nostro firewall. Ho fatto richiesta whois per tutti gli indirizzi di destinazione e in cui tutti gli indirizzi di Google Cloud o Akamai. Tutte le 100 richieste sono inviate in un secondo. Questo è successo diverse volte.

Il mio sospetto ora è che non ci sono altri pacchetti inviati perché il malware ha capito che i pacchetti sono bloccati dal firewall. È un'idea ragionevole o c'è una spiegazione meno dannosa per questo comportamento?

// L'host discutibile sta eseguendo Windows 7.

    
posta davidb 14.11.2016 - 17:13
fonte

1 risposta

1

Ho scritto uno script che recupera il certificato da tutti gli host che sono elencati nel firewall con TCP: RA sulla porta 443. I risultati hanno mostrato che circa il 70% di quegli host aveva certificati per *.dropbox.com e altri cloud basati soluzioni. Apparentemente la connessione di questi client era stata resettata dai server inviando un pacchetto con il flag RST impostato che terminava lo stato nel firewall. Il firewall ha quindi bloccato l'RST, ACK Risposta dal client. Quindi nessun malware nella maggior parte dei casi. Un host era effettivamente infetto.

    
risposta data 15.11.2016 - 13:04
fonte

Leggi altre domande sui tag

È generalmente sicuro (e conforme) registrare una traccia dello stack? Come trovare LHOST?