OVH Community, your new community space.

Les scans step 1 done


pendulum
17.06.08, 07:43
Ich denke es wird einfach nach TCP/UDP Scans geschaut. Was das dann genau für eine Attacke ist, spielt doch keine Rolle
k!mmel
17.06.08, 07:29
Um welche Scans geht es denn überhaupt? Dfind?

MfG
whyte
16.06.08, 12:58
ja, so meinte ich das, aber eben nicht nur auf die IP bezogen, die gerade gescannt wird, sondern eben alle Server im OVH Netz sind dann für diese IP und Port gesperrt.
Enn
16.06.08, 12:57
nein:
So kann die IP die scannt nicht mehr das Netzwerk von OVH auf dem betroffenen Port scannen. Der ganze Rest geht durch.
whyte
16.06.08, 12:49
so wie ich das also verstehe, wird das komplette OVH Netzwerk für die scannende IP geblockt ?
oles@ovh.net
16.06.08, 11:46
Guten Tag,

wir haben am Freitag das neue System zur Erkennung von Scans in Betrieb genommen. Es funktioniert sehr gut. Sogar so gut dass das System das sich um die Blockierungen kümmert nicht leistungsfähig genug war. Wir haben dieses dann gestern Abend modifiziert, und seitdem passiert wieder alles in Echtzeit.

Am Samstag 14.06. hatten wir 1078 Alarme.
Am Sonntag 15.06. hatten wir 1145 Alarme.
Heute sind wir bereits bei 416 Alarme.

Hier die Statistiken vom 14.:

Anzahl Der
der gescannte
Scans Port
-------*-------
2|1026
2|3306
3|10000
6|443
10|80
12|21
55|23
56|22
72|139
217|445
643|135

Und vom 15.:

Anzahl Der
der gescannte
Scans Port
-------*-------
1|1026
1|3306
3|10000
5|443
9|80
21|21
46|22
50|23
68|139
256|445
685|135

Und der Gewinner ist demnach:
-----------------------------

loc-srv 135/tcp epmap # Location Service
loc-srv 135/udp epmap
microsoft-ds 445/tcp # Microsoft Naked CIFS
microsoft-ds 445/udp
netbios-ssn 139/tcp # NETBIOS session service
netbios-ssn 139/udp
telnet 23/tcp
ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp
ftp 21/tcp
www 80/tcp http # WorldWideWeb HTTP
www 80/udp # HyperText Transfer Protocol
https 443/tcp # http protocol over TLS/SSL
https 443/udp
webmin 10000/tcp
mysql 3306/tcp
mysql 3306/udp

Windows bleibt also die Hauptgefahr für Netzwerke, und von unserer Seite aus schützen wir auf dynamische Art und Weise die bei OVH beherbergten Server gegen Scans in unserem Netzwerk ab.

Der Typ von Scan den wir erkennen ist einfach:
-> :
Und die Blockierung ist sehr sauber:
deny host any eq
So kann die IP die scannt nicht mehr das Netzwerk von OVH auf dem betroffenen Port scannen. Der ganze Rest geht durch.

Mit freundlichen Grüssen

Octave