Blog

Vandaag ontving SURFcert een melding over een agresieve port-scan. Dit isiets wat bijna permanent voorkomt richting het netwerk van SURF en de aangesloten instellingen. De reverse DNS van de gemelde IP-adressen (uit een enkele /24) wezen allemaal naar recyber.net. De web pagina van dit domein spreekt over "The Recyber project assists researchers, universities and other educational instutions. Partnered instutions use our platform to conduct their research.". Dat klinkt niet eens onsympatiek. Al was het maar omdat een aantal van onze instellingen iets vergelijkbaars doen. Meestal wel met iets meer uitleg. Desondanks krijgt SURFcert regelmatig klachten over dergelijke onderzoeksprojecten. In het geval van recyber.net vond ik enkel een opt-out mogelijkheid.

Nu was ik zelf wel benieuwd hoe agressief de portscan precies was. Daarvoor kunnen we gebruik maken van onze histrorische netflow informatie. In eerste instantie voor de vier gemelde IPv4 adressen en over ongeveer de afgelopen twee dagen.

Duidelijk is te zien dat het aantal packets per second (pps) soms piekt tot een paar honderdduizend. Voornamelijk (enkel) TCP verkeer van slechts 40 byte per packet (Bpp). Als we dan analyseren waar het verkeer naartoe gaat (per /16) dan zien we meerdere /16s. De instelling die melding maakte staat op de 11e plek. Tien andere instellingen zouden potentieel dus nog meer aan (bijna zeker) ongewenst verkeer voorbij hebben zien komen. De top vijf source poorten waren 42642, 46196, 42850 49521 en 52856. De meest voorkomende destination poorten zijn groter dan 10000. Verder voornamelijk SYN packets.