On Mon, 02 Feb 2004 13:47:44 +0100
Bastian Schern
Hallo *,
Hallo Bastian,
ich habe jetzt mal versucht herauszufinden woher diese martian sources
kommen: [...] [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...] kernel: martian source 212.202.39.61 from 127.0.0.1, on dev ppp0 [...] kernel: ll header: 45:08:00:28 [...] [...] Irgendwie scheint das alles von Port 80 an 127.0.0.1 auszugehen.
Genau diese Pakete hatte ich auch in meinen Logfiles. Sie kamen über den Gateway herein und hatten immer 127.0.0.1 als source Adresse und 80 als source port und > 999 als destination port (das konnte ich mit ethereal nachvollziehen). Nicht nur ich, sondern auch diverse andere Clients im Netzwerk haben diese Pakete erhalten. Ich habe ein Posting in de.comp.os.unix.networking gemacht [1] und so genau konnten wir den Ursprung dieser Pakete nicht klären. Ich weiss aber, dass der Gateway korrekt konfiguriert ist. Am wahrscheinlichsten erschien mir dann eine Erklärung in einem anderen Posting [2], dass es sich um "Backscatter von einem Scan oder einer Denial-of-Service Attacke (RST/ACK Flags gesetzt)" handelt. Ich habe noch vermutet, dass es sich um absichtlich fehlgeleitete Blaster Pakete handeln könnte. Lies einfach mal beide Threads durch. Kommentare oder eigene Ideen sind gerne willkommen.
Hat denn niemand eine Idee, wie ich das abstellen kann, oder woher das kommt?
Es ist mir nicht gelungen, den Ursprung zu orten. Ich habe auch sonst keine Blaster/Wurm/DoS-Aktivitäten bei uns im Netz entdecken können. Aufgehört hat es von ganz alleine, seit ca. 5 Tagen sind die Marsianer weg. ;-) HTH, Frank [1] http://kuerzer.de/martians [2] http://kuerzer.de/moremartians