• Let op: Dit is het archief van het Provider Forum. De berichten die je hier ziet zijn gedateerd en er kan niet meer op worden gereageerd.

Voert Ziggo portscans bij haar klanten uit?

  • Onderwerp starter erik0702
  • Startdatum
Status
Niet open voor verdere reacties.
E

erik0702

Vreemd, mijn firewall logt een denial of service attack:

Firewall Denial of Service Log

via smtpq2.tb.mail.iss.as9143.net
Jan 1 (1 day ago)
to me

TCP- or UDP-based Port Scan DETECTED on Tue Jan 01 01:12:41 2013
targeting 83.83.96.189,54414, sent from 212.54.40.25,53

???????????????????????

Navraag leert dat het van Ziggo zelf afkomt.

Weet iemand (misschien binnen Ziggo zelf) hoe dit zit?


inetnum: 212.54.40.0 - 212.54.40.31
netname: ZIGGO-INFRA-2-TB-SLB
descr: ZIGGO-INFRA-2-TB-SLB
country: NL
admin-c: ZBBS1-RIPE
tech-c: ZBBS1-RIPE
status: ASSIGNED PA
remarks: INFRA-AW
mnt-by: ZIGGO-IPMGMT
source: RIPE # Filtered

role: ZIGGO CO BACKBONE AND SECURITY
address: Winschoterdiep 60
address: 9723 AB Groningen
address: The Netherlands
phone: +31(0)88 717 0000
admin-c: ZIPA1-RIPE
tech-c: DM1718-RIPE
tech-c: GH1829-RIPE
nic-hdl: ZBBS1-RIPE
abuse-mailbox: [email protected]
mnt-by: ZIGGO-MNT
source: RIPE # Filtered

% Information related to '212.54.32.0/19AS9143'

route: 212.54.32.0/19
descr: ZIGGO-INFRA-2
origin: AS9143
mnt-by: ZIGGO-RTRMGMT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.47.5 (WHOIS2)
 
Lijkt mij niet meer dan normaal dat Ziggo scant op verkeer dat mogelijk van Trojans en andere malware afkomt.
 
TCP- or UDP-based Port Scan DETECTED on Tue Jan 01 01:12:41 2013
targeting 83.83.96.189,54414, sent from 212.54.40.25,53
lijkt op de reply connection van een dns query, misschien heb je een netwerkstorinkje gehad.
 
Lijkt mij niet meer dan normaal dat Ziggo scant op verkeer dat mogelijk van Trojans en andere malware afkomt.


Mij niet.

Zover ik weet is een portscan om te kijken of er in MIJN netwerk een port open staat, en niet of mijn netwerk rottigheid spuugt.

Mocht ik dat fout zien, hoor ik graag welke denkfout ik maak en hoe het wel zit.
 
Ik denk het zoiets idd is geweest.
Bedankt voor de reactie.

Als het een echte poortscan geweest was zou je wel meer entry's in je log hebben. Met een portscan wordt bedoeld dat iemand probeert een hele range van poorten te connecten om te zien of er eentje open staan. Nu is er alleen een DNS reply te zien die jij vermoedelijk zelf hebt gedaan. Ik denk dat je firewall van slag was.
 
TCP- or UDP-based Port Scan DETECTED on Tue Jan 01 01:12:41 2013
targeting 83.83.96.189,54414, sent from 212.54.40.25,53
Poort 53 is de dns poort. De Ubee EVW valt hier geregelt over, niet alleen bij ziggo, maar ook als je een andere dns server gebruikt krijg je deze meldingen. Op een aantal computers gebruik ik dnsCrypt (van openDNS) en sindsdien is het aantal meldingen in het log nog groter geworden. > 500 per maand.
 
iedereen heel erg bedankt voor de uitleg.

Was idd maar 1 entry.
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan