我刚刚注意到一个IP地址已经在我们的SonicWall日志中频繁出现。 在整个平均一天的过程中,我们将看到来自17.10.13.204的大约100个丢弃的数据包,这些数据包在向苹果公司注册的IP块中。 这是一个示例:
Apr 26 12:59:47 id=firewall sn=0017C5107A2C time="2011-04-26 12:59:47" fw=XXXY pri=1 c=32 m=179 msg="Probable TCP NULL scan detected" n=0 src=17.10.13.204:48225:X1 dst=XXXZ:80 note="TCP Flag(s): None"
我并不担心 – 这只是一个TCP NULL扫描,他们只是在我们许多IP地址中的几个端口上打80端口。 这就是说,我还是很好奇,到底是怎么回事:)
我做了一点GOOGLE的WRT IP地址,并没有发现比别人的日志文件等多得多。 只有一个post似乎脱颖而出,但已经过去了几个月,并没有得到太多的牵引力。
其他人看到这些家伙的TCP NULL扫描? 我不确定这个事情发生了多久,因为我只有几个月的日志存档。 我很想知道这是一个相当近期的事情,还是已经发生了一段时间。
shell$ host 17.10.13.204 204.13.10.17.in-addr.arpa domain name pointer spoofed-src-frm-outside-apple.apple.com
这已经持续了好几个月。 我在2010年11月向苹果报告了这种stream量,我仍然看到它。 我不认为这是一个DoS,因为在苹果公司结束时太简单了。 他们所要做的就是阻止RST数据包到他们的IP,或者阻止所有进入该IP的数据包。 知识产权自开始以来一直是一样的。 我已经在我们的边缘路由层阻止了它,但是我仍然在logging下降,所以我可以确认它仍在进行中。
解决这个问题的最佳方法是让ISP参与,并开始追踪这个stream量回到源头。 我认为这是某种types的configuration错误。