[atnog] TCP SYN Attacke

[Roland Drabek]

Ich vermelde SIP Attacken von:

103.145.12.0/24 
45.143.220.0/24 
185.53.88.0/24

-----Ursprüngliche Nachricht-----
Von: atnog-bounces at atnog.at <atnog-bounces at atnog.at> Im Auftrag von Harald Kapper
Gesendet: Freitag, 8. Mai 2020 13:19
An: Jogi Hofmüller <jogi at mur.at>
Cc: atnog at atnog.at
Betreff: Re: [atnog] TCP SYN Attacke

Hi
Idee was das soll haben wir noch nicht, bin aber nicht ganz in-loop mit den Jungs die sich der Analyse widmen, wir haben aber mal die (scheinbar) russischen Netze dazu gefiltert auf den transits und auch am vix (da kamen auch ein paar daher) - wären interessiert ob es bei euch die selben Quellen sind:
176.113.115.0/24
185.176.27.0/24
194.31.244.0/24
195.54.166.0/23
213.217.0.0/23
92.63.196.0/24
195.54.160.0/23

hth, hk

-----Ursprüngliche Nachricht-----
Von: atnog-bounces at atnog.at <atnog-bounces at atnog.at> Im Auftrag von Jogi Hofmüller
Gesendet: Freitag, 8. Mai 2020 13:13
An: atnog at atnog.at
Betreff: [atnog] TCP SYN Attacke

Hallo Leute,

ich häng hier schon eine Weile rum, ohne mich jemals vorgestellt zu haben (denke ich) -> Jogi, zuständig für viele Dinge bei https://mur.at (AS39837), unter anderem auch Netzwerk :)

Warum ich mich heute melde ist ein noch laufendes DDOS (zumindest nenne ich das mangels besserem Namen so).  Wir bekommen hier rund 18k TCP SYN Pakete pro Sekunde, gleichmäßig über unsere IPv4-Range verteilt.

Viele haben Quellports 43250 und 43270 oder irgendwas 43XXX und irgendwelche Zielports > 1023.

Hat wer eine Idee, was das soll?

Besten Gruß,
--
J.Hofmüller

    Ein literarisches Meisterwerk ist nur ein Wörterbuch in Unordnung.
    - Jean Cocteau