traffic op poort 17 de afgelopen dagen

[jrh]

Op mijn proximus internet heb ik de afgelopen 2 dagen heel wat (2.6Mb) udp (17) traffiek van 195.238.8.166:34321 naar 239.192.1.1:8002
Gezien ik begod niet weet wat het is, maar wel vermoed dat het niet leuk is, wil ik die eruit.

Toevallig staat er achter mijn proximus router een mikrotik.
Heb dan maar een mangle aangezet op udp en met de poortjes 34321 en 8002 om te packets markeren.
En dan wil ik die eruit shotten via de firewall rules (drop obv de markage op de packets).

En dit lukt toch wel niet zeker.

Iemand een idee wat die trafiek zou kunnen zijn + indien kwaadaadig, hoe ik die op een andere manier eruit jaag?
Ik begin me zo een beetje te frusteren

[mailracer]

Even de IP-adressen opgezocht, en het gaf me deze info

Addresses starting with a number between 224 and 239 are used for IP multicast. IP multicast is a technology for efficiently sending the same content to multiple destinations. It is commonly used for distributing financial information and video streams, among other things.

het adres dat begint met 195 is bij proximus geregistreerd

[Splitter]

idd, het is een skynet adres en een multicast adres...
is het skynet adres niet toevallig je eigen externe ip?

also; xbox speler toevallig?
xbox live stuurt udp over poort 17 dacht ik ooit gelezen te hebben... dus als je een xbox hebt, die eens een keer uit het netwerk gooien en kijken of je dan nog die traffiek hebt.

EDIT: kan er wel niet dadelijk iets van vinden op de officiele xbox pagina. strange.

[jrh]

Ik denk niet dat het mijn eigen ip is.
Het komt nergens voor in een trace naar de google dns vanuit de mikrotik.

en ik heb geen xbox of soortgelijk speelgoed.

[Splitter]

Ik denk niet dat het mijn eigen ip is.

snelste check: https://www.whatismyip.com/

[CCatalyst]

Op mijn proximus internet heb ik de afgelopen 2 dagen heel wat (2.6Mb) udp (17) traffiek van 195.238.8.166:34321 naar 239.192.1.1:8002

Is het niet poort 8002/udp dan?

17 is het protocolnummer van UDP.

17/udp bestaat uiteraard ook, dient voor QOTD.

[jrh]

81.243.75.XXX op mijn proximus lijn volgens die site.
(yup: heb nog een EDPtje liggen ook)

valt me trouwens op dat ik niet meer aan mijn proximus modem kan via het intern IP adres (192.168.1.1)
ik denk dat ik morgen die modem eens fysiek ga herstarten (want zit in een ander gebouw)

EDIT: @CCatalyst 17 is het nummer van het udp protocol in de microtik.
EDIT2: ik ga nog een paar uur slapen. morgen opnieuw een werkdag & dan kan ik nog verder zoeken

[CCatalyst]

EDIT: @CCatalyst 17 is het nummer van het udp protocol in de microtik.

Komt dat verkeer dan op poort 17 of 8002 aan?

Indien 17: https://qotdscan.shadowserver.org - probes voor UDP spoofed QOTD amplification DDoS attacks - zie ik ook in mijn logs (zowel van shadowserver als van een Russische hacker).
Indien 8002: kan vanalles zijn, heb ik zelf niet in mijn logs staan recent

Hou er rekening mee dat de source adressen spoofed kunnen zijn, dus niet noodzakelijk juist.

[jrh]

het verkeer komt aan op 8002 (destination port) en volgt volgens de mikrotik het IP protocol 17/udp
Kan ik hier een screenshot opladen? is 10x zo duidelijk

[CCatalyst]

Google search leert dat het hier over een adres van Proximus TV gaat, mogelijks toebehorend aan het relatief obscure kanaal Al Oula.

Als je die pakketjes eens zou tcpdumpen kan dat best wel iets opleveren. Kijkcijferfraude/advertentiefraude/phishy/...

[jrh]

@CCatalyst: ok, doe ik morgen. lijkt me toch maar iets speciaals.

EDIT: 8h00 - wat ik dus al weet / wat me opgevallen is...

bescrhijving:
de 2.6MB/s traffiek komt binnen via BGC, loopt over mijn mikrotik-VLAN-trunk (aggregatie omdat het jammergenoeg toekomt in ander gebouw) naar de volgende mikrotik om te onttrunken en dan in de load-balancer (en nog een mikrotik). Daar stopt de trafiek.

de trafiek komt nu van een ander IP en andere poort, maar heeft nog steeds als bestemming 239.221.1.1:8002 en gebruikt nog steeds het IP protocol 17/upt

De loadbalancer en trunking werken al jaren (sinds 2014) prima, dus ik zoek daar even niet.

EDIT: iets later
Ik denk dat het idd TV signaal is en dat er iets veranderd is aan de proximus configuratie de afgelopen dagen. (en dat ik het gemist heb op de een of andere manier). Blijft toch bizar om non-stop een paar megabit trafiek te hebben op dat circuit, zonder dat een toestel het bewust vraagt.

[CCatalyst]

EDIT: iets later
Ik denk dat het idd TV signaal is en dat er iets veranderd is aan de proximus configuratie de afgelopen dagen. (en dat ik het gemist heb op de een of andere manier). Blijft toch bizar om non-stop een paar megabit trafiek te hebben op dat circuit, zonder dat een toestel het bewust vraagt.

Ik ben zelf geen klant van Proximus internet/TV dus misschien kan iemand anders hier meer duidelijk geven, maar dit lijkt me toch wel enorm bizar.

Mijn indruk is dat het precies een (low-quality) A/V-stream is (ofwel high-quality audiostream), maar erg vreemd dat het het TV-station als bestemming heeft ipv omgekeerd. Ook de wisselende bron van het verkeer, die wel op een ASN van Proximus zit maar niet op je eigen netwerk roept heel wat vraagtekens op. Maar gezien UDP kan dat ook gespoofed zijn.

Je zou toch echt eens een paar seconden moeten dumpen - in de veronderstelling dat het niet geëncrypteerd is - om te zien of het iets anders is dan dat. En sowieso moet je asap uitklaren wat hier precies gaande is, want het is niet per se onschuldig allemaal (kan fraude zijn, DDoS of erger). Als het effectief over Al Oula gaat is er immers ook een Islamitische connectie.

[meon]

Ik denk niet dat het mijn eigen ip is.

snelste check: https://www.whatismyip.com/

Beter/nuttiger: http://ip.userbase.be

[Splitter]

Ik denk niet dat het mijn eigen ip is.

snelste check: https://www.whatismyip.com/

Beter/nuttiger: http://ip.userbase.be

mijn link gebruikt tenminste https!

also: jouw link werkt niet?

Illegal use of $_SERVER. You must use the request class or request_var() to access input data. Found in /var/www/userbase.be/v3.userbase.be/_pages/services_ip.inc.php on line 10. This error message was generated by deactivated_super_global.

Breng de forumbeheerder of sitebeheerder op de hoogte: [email protected]

[mailracer]

also: jouw link werkt niet?

toch wel, hier werkt het

[Splitter]

also: jouw link werkt niet?

toch wel, hier werkt het

jep, ik en meon hebben de oorzaak al gevonden: ik ben een specialleke zoals ik altijd al wist

[ubremoved_539]

de 2.6MB/s traffiek komt binnen via BGC

Bijna 21 Mbps dus... dat is al deftige 4K TV dat je hiermee kan doen...

Mijn indruk is dat het precies een (low-quality) A/V-stream is (ofwel high-quality audiostream)

Geen idee dus hoe je tot de conclusie komt van low-quality ?

[James.]

OP zei eerst 2,6Mb, daarna 2,6MB/s. Wat is het nu, OP?

[blaatpraat]

Ik denk niet dat het mijn eigen ip is.

snelste check: https://www.whatismyip.com/

Beter/nuttiger: http://ip.userbase.be

Offtopic in deze thread, maar reply hierop:
Werkt hier niet:

Illegal use of $_SERVER. You must use the request class or request_var() to access input data. Found in /var/www/userbase.be/v3.userbase.be/_pages/services_ip.inc.php on line 10. This error message was generated by deactivated_super_global.

[jrh]

@james : 2.6 Mbps. Zeker geen 4K stream. Ter vergelijking, een belgacom TV steam (720p ?) neemt 6.3 Mbps in.

De stream is nog niet weg. Toch maar een bizar iets.
Nog geen idee wat de inhoud is van het protocol (op microtik is er geen automatische content labeling zoals op ethereal/wireshark.

Voorbeeld van een "een package content" :

Code: Selecteer alles

0000: 45 88 05 4c 00 00 40 00  19 11 9e b3 c3 ee 08 b6  E..L..@. ........
0010: ef c0 01 01 df a4 1f 42  05 38 8c 22 80 21 67 e3  .......B .8.".!g.
0020: 70 ca 81 74 2c 6e ff 29  47 01 f4 15 69 a6 5a 70  p..t,n.) G...i.Zp
0030: 98 c4 63 a6 ff 29 33 c0  e3 7f 35 6d f4 24 84 5a  ..c..)3. ..5m.$.Z
0040: 57 18 a5 62 27 a1 85 bb  79 d2 2a ee 69 6b 6c 1f  W..b'... y.*.ikl.
0050: c2 34 ad 9b 30 ff da 7f  43 37 c2 75 a2 a3 17 44  .4..0... C7.u...D
0060: e1 50 8b f7 d4 27 4a 1e  a8 02 06 53 cf f5 1e 0c  .P...'J. ...S....
0070: 86 0d e0 40 dc 54 ae 7f  d8 bc 6c 4f 91 51 26 2a  [email protected].. ..lO.Q&*
0080: 8e 1c f4 aa e1 0c a3 0f  d3 13 b1 6d 1d fd 0f ce  ........ ...m....
0090: 8c 39 a3 6b ed 04 65 60  b9 e6 e5 32 a6 98 ac d7  .9.k..e` ...2....
00a0: 08 c5 29 44 e5 1d 27 24  2e 5d a8 4c 60 77 af d7  ..)D..'$ .].L`w..
00b0: b8 5a aa 51 9d 63 eb c7  1d 42 e4 2d 78 a4 99 5a  .Z.Q.c.. .B.-x..Z
00c0: 15 d9 23 6e 07 e0 64 e8  a1 42 a0 f1 c3 b0 23 37  ..#n..d. .B....#7
00d0: 84 2d ea 2d 09 8a d6 aa  51 89 5b e4 45 93 12 17  .-.-.... Q.[.E...
00e0: b2 3a 59 ff 47 01 f4 96  cc 62 f8 3f ca 43 49 01  .:Y.G... .b.?.CI.
00f0: b8 8d db 72 03 23 3e c2  96 6d 25 ba 4d 8e 9e d2  ...r.#>. .m%.M...
0100: 78 d0 b4 d6 6f ac f4 aa  7c f3 63 5f 4b 4f 8d 83  x...o... |.c_KO..
0110: ba 40 4d 3a e7 d3 a2 6e  df 96 61 0d 78 31 5b 49  .@M:...n ..a.x1[I
0120: 65 5e 8d 19 db 82 9b 96  5a e7 df c6 04 19 53 ca  e^...... Z.....S.
0130: 03 18 97 2e a3 6c a1 cd  21 3f 89 d5 fa 66 82 d4  .....l.. !?...f..
0140: 97 fe e0 65 db e2 9f 08  cd b2 3d e0 2b 6c d1 b8  ...e.... ..=.+l..
0150: 5b d4 0f 5e 14 95 1f 17  eb 0f 35 4c ec b2 ec bd  [..^.... ..5L....
0160: 1f 58 86 ce b9 eb 57 d0  ba 50 76 67 de 50 7e ea  .X....W. .Pvg.P~.
0170: 1f 77 be b1 1c 85 30 d0  c0 c2 8a b9 b8 91 69 88  .w....0. ......i.
0180: 50 9f fe 63 3d b6 cb 33  a7 35 40 42 a6 94 23 40  P..c=..3 .5@B..#@
0190: f1 35 24 a4 e0 5a b2 4b  d6 53 c3 f2 33 7d ce dd  .5$..Z.K .S..3}..
01a0: 47 01 f4 17 67 ac ec 85  a3 53 b6 15 ad 62 55 b6  G...g... .S...bU.
01b0: db e5 76 d0 86 84 94 86  87 f4 56 93 17 f8 e6 ed  ..v..... ..V.....
01c0: 9f 8a 40 8f c3 bb ab 41  86 c7 0f a1 68 fc c4 ac  [email protected] ....h...
01d0: 6c 8e f1 50 cf e1 2e ff  0c 3e 03 cf 0f 1c b4 1f  l..P.... .>......
01e0: 26 77 76 6d 9a cf eb e1  da be a4 39 86 92 86 ee  &wvm.... ...9....
01f0: b9 d3 7b 31 b7 15 3a 7f  dc bf 34 98 95 65 34 1c  ..{1..:. ..4..e4.
0200: 2a 11 e0 bd 6f 55 5f f4  80 ee e0 ea 1d 66 3f 7a  *...oU_. .....f?z
0210: d2 d6 58 4d 5a f9 44 ce  a2 30 cc c1 78 96 ce 61  ..XMZ.D. .0..x..a
0220: 79 08 07 5b 36 a9 1b e3  84 b5 b7 26 c4 05 e3 b1  y..[6... ...&....
0230: d3 a1 61 83 cf 51 04 cd  12 fc d9 f7 10 9a 40 40  ..a..Q.. ......@@
0240: 68 15 1a 51 88 71 ba 41  91 eb 66 6e 14 ac 6d c6  h..Q.q.A ..fn..m.
0250: d8 c9 f6 35 b2 49 90 c6  b8 aa 97 b6 47 1f ff 10  ...5.I.. ....G...
0260: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
0270: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
0280: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
0290: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02a0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02b0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02c0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02d0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02e0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
02f0: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
0300: 00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  ........ ........
0310: 00 00 00 00 00 00 00 00  47 01 f4 98 06 7e 80 6b  ........ G....~.k
0320: 0c e0 ec d1 ef 64 79 98  3f e1 b6 8a f8 31 64 ff  .....dy. ?....1d.
0330: 5d 7c 8e 29 3b 1e 5d d6  9f d7 d4 c1 11 32 08 32  ]|.);.]. .....2.2
0340: 4d a8 2a f7 e2 86 b2 17  d5 18 3f 95 a6 0c 47 9e  M.*..... ..?...G.
0350: bf bb da 76 49 af 62 bb  58 7b 51 35 41 a1 2c e4  ...vI.b. X{Q5A.,.
0360: 7f 1d 76 88 5a fe d3 7c  12 2d b6 0a ad d0 7e 8a  ..v.Z..| .-....~.
0370: 77 fa cb af 8a dc fc 58  cb f3 c2 e0 2c 47 1f 60  w......X ....,G.`
0380: 83 14 5b ac 5e 01 bf 79  f1 cc fe 59 fe 2c f4 68  ..[.^..y ...Y.,.h
0390: 19 a7 47 3e 25 dc ce b7  f7 9a 22 58 11 c6 9a c0  ..G>%... .."X....
03a0: ee a2 d2 88 d7 ee 30 17  3d 82 ad 7e 74 c6 dd 69  ......0. =..~t..i
03b0: a0 eb cf 0e 9f 7e e2 c4  55 50 17 de d0 f3 66 4f  .....~.. UP....fO
03c0: d5 08 55 0e be 56 83 3c  12 9b 6f ea 0c 8f 07 8d  ..U..V.< ..o.....
03d0: 4b d3 8d cc 47 01 f4 19  ac a2 6a 3b b7 53 52 26  K...G... ..j;.SR&
03e0: 5d dd 03 04 b3 ab 9f d7  0c e5 4f 5d 21 aa 48 7f  ]....... ..O]!.H.
03f0: 05 fc 1e 2a f8 c8 bd 38  69 db fa 27 8b b4 78 30  ...*...8 i..'..x0
0400: 72 65 bf ca f3 55 e6 bd  22 d9 27 5c c4 af 45 18  re...U.. ".'\..E.
0410: ae 3a e1 aa 72 52 39 5e  c7 92 4b 51 52 16 86 91  .:..rR9^ ..KQR...
0420: 43 68 35 e9 1a c3 36 9a  da 44 53 fd 4b 62 1e fa  Ch5...6. .DS.Kb..
0430: f6 71 4e 38 be 50 59 24  8f 7a 85 ce 1f da 62 93  .qN8.PY$ .z....b.
0440: ed 42 9a f6 8d 95 56 90  5b e0 f3 b8 62 7c 5a bb  .B....V. [...b|Z.
0450: 56 66 0c f4 ef 07 e1 f8  e6 86 06 6f 05 7b 8c cd  Vf...... ...o.{..
0460: 9b 5d 56 03 13 f0 c7 01  26 ef 2f 8c 51 ba 28 0b  .]V..... &./.Q.(.
0470: e6 ad 90 e7 28 9a 8d 56  8e 0f 4f e4 e8 09 61 ea  ....(..V ..O...a.
0480: d0 c3 11 53 7f ce d6 0d  db 43 26 aa b3 94 42 80  ...S.... .C&...B.
0490: 47 02 5d 9f 7e 09 28 7a  99 17 03 e7 28 2b 68 4d  G.].~.(z ....(+hM
04a0: f6 f8 33 03 64 0f 38 50  cf 99 45 c2 c0 fb 16 c4  ..3.d.8P ..E.....
04b0: e0 ea 56 68 19 24 ab cc  a7 fa f1 b4 ba c7 01 3f  ..Vh.$.. .......?
04c0: fb b7 b4 a9 ee 0d 00 67  84 45 0b d0 65 27 0f 37  .......g .E..e'.7
04d0: f9 49 ab e7 c0 11 e4 53  05 cf 66 be a5 72 2a 2b  .I.....S ..f..r*+
04e0: 33 a0 00 4f d5 22 06 24  f4 f0 b6 36 ac aa 42 49  3..O.".$ ...6..BI
04f0: a4 0a c0 a9 c6 67 d6 90  33 3f 16 1d ab 78 8e 0e  .....g.. 3?...x..
0500: fd c8 f6 75 8c 35 7f 12  04 e9 0a e6 89 44 a9 32  ...u.5.. .....D.2
0510: 91 6a 1e c5 7a 42 e6 06  23 83 03 9c ea 44 08 18  .j..zB.. #....D..
0520: f0 ad da 88 02 95 04 d4  3c 4b ff 07 33 17 d5 bb  ........ <K..3...
0530: 15 91 8b f1 a3 03 7c f6  27 c7 e6 2a c4 2a 1e 99  ......|. '..*.*..
0540: ef 58 5a 0d c0 d8 05 dd  ae e0 42 d3              .XZ..... ..B.

[axs]

Toevallig niks met een ingebouwde cam/microfoon? (TV/scherm/...)

[jrh]

@:axs : dat ben ik aan het uitzoeken. (*) Er is enkel mijn camera systeem, maar dat zal toch wel zonder mijn toestemming zijn & ook op het ogenblik dat de rj45 uitgetrokken is... (dit laatste heb ik getest)

(*) eerder morgen: iets te veel werk deze avond

[ubremoved_539]

Nog geen idee wat de inhoud is van het protocol (op microtik is er geen automatische content labeling zoals op ethereal/wireshark.

Je kan je Mikrotik gewoon laten streamen naar Wireshark... https://wiki.mikrotik.com/wiki/Ethereal/Wireshark

[jrh]

Je kan je Mikrotik gewoon laten streamen naar Wireshark... https://wiki.mikrotik.com/wiki/Ethereal/Wireshark

top idee. probeer ik straks eens.

wat ook op mijn lijstje stond was alle kabels één voor één uittrekken tot de trafiek wegvalt. niet het leukst / handigst, maar ook effectief

[ITnetadmin]

Zeer effectief om snel te vinden van waar het binnenkomt; daarna kan je dan gericht beginnen zoeken

[jrh]

Gevonden !

traffiek was van microtik zelf afkomstig.
blijkbaar stond de NTP server aan (??), op multicast.


Bedankt voor jullie hulp!
Ondertussen heb ik ook leren de traffiek redirecten van mijn mikrotik naar wireshark

[ubremoved_539]

blijkbaar stond de NTP server aan (??), op multicast.

Een NTP server op Mikrotik... zie ik er zo hard naast dan maar ik zie dat bij mij niet ?

Ik kan enkel een SNTP Client vinden.

[jrh]

menu system, NTP client en NTP server.

[ubremoved_539]

Bizar... ik heb enkel SNTP Client. Welke versie van Routerboard draai je ?

Edit: blijkbaar is dit een package die je apart moet installeren.

[CCatalyst]

Eigen NTP server? 2.6 Mbps aan NTP verkeer? UDP?

Onbeschermde UDP-based NTP servers zijn het favoriete doelwit voor DDoS Amplification Attacks.

[jrh]

@Ccatalyst daarom ook dat ik weten wou wat het was. Blijkbaar had ik het aangezet en vergeten uitzetten in een onbezonnen moment tijdens het upgraden van de firmware.

[ubremoved_539]

Dat het aanstaat is één ding... maar je moet je wel eens afvragen waarom het van buitenaf bereikbaar was ?

Ik zou me dus even zorgen maken over je firewall rules (Mikrotik vraagt in dat opzicht wel de nodige kennis/aandacht !)

[jrh]

@r2504: Je hebt gelijk. Dat gezegd zijnde: ik denk eerder dat het van binnen naar buiten ging & gestopt werd 3 stappen (=op de firewall) verder ipv omgekeerd.

De router die dat had aanstaan was een interne load balancing & routeringsbox welke enkel dient om me een hogere surfsnelheid te geven.

[CCatalyst]

Toch wel bizar hoor

Nu ja, goed dat het opgelost is.

En inderdaad, goed firewall controleren. Hackers zitten voortdurend het internet af te scannen naar open UDP poorten om die te misbruiken. Zeker naar NTP omdat dat de beste amplification attack is, als je zoiets vandaag publiek hebt open staan mag je er zeker van zijn dat dat binnen minder dan een maand al deel is van een DDoS attack, maar andere protocols zijn ook doelwit.