Jochen Meier <
gesammeltim...@arcor.de> wrote:
>Seit einiger Zeit liefert netstat auf meinem Server häufiger sehr viele
>Zeilen mit SYN_RECV. Teilweise von vielen unterschiedlichen IPs wie unten,
>teilweise aber auch nur von ein oder zwei IPs. Es wird dabei nie eine
>vollständige Verbindung aufgebaut, d.h. in den Logs von Web- bzw.
>Mailserver tauchen die IPs nicht auf.
>
>Wird hier mein Server als Multiplikator für einen Angriff missbraucht: Auf
>ein Paket mit gefälschter Absender-IP verschickt mein Server minutenlang
>Pakete an den vermeintlichen Absender? Falls ja, kann ich das verhindern?
>
>Hat jemand eine bessere Erklärung?
>
Also, erstmal schreibst du weder, welches Tool Du benutzt, noch wie Du
es aufrufst. Da kann an nur raten, was Sache ist.
Dann...
>tcp6 0 0 159.69.x.y:80 185.36.x6.100:46150 SYN_RECV
... ist das gelogen, tcp6 mit IPv4 adressen glaubt Dir vielleicht
deine Oma.
Und dann.. würde Dein System nur in SYN_RECV gehen, wenn auf den Ports
25, 80, 443, 587 wirklich ein Dienst lauschen würde, sonst gibt's ein
RST und gut ist.
Und wenn da Dienste laufen, könnte das genau so gut normale Nutzugn
Deiner Dienste sein. Vielleicht mit kaputten Clients.
TCP als Multiplikator fände ich persönlich ein wenig zu lahm, da gibt
es viel effizientere Aufgaben.
Wenn es wirklich nur um ein paar hundert Verbindungen geht und dein
Server in seiner Funktion nicht beeinträchtigt ist, ignorier's.
Und das nächste Mal trollst Du bitte nicht so offensichtlich.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834