El host envía una gran cantidad de paquetes TCP / IP con un indicador de RA: ¿Parte del ataque DDoS?

1

Tengo un host en la red que intenta enviar paquetes TCP / IP a varios servidores. El puerto DST siempre es 80 o 443 y los indicadores establecidos son RST y ACK. Estos paquetes están bloqueados por nuestro firewall. Hice la solicitud de whois para todas las direcciones de destino y donde estaban todas las direcciones de Google Cloud o Akamai. Todas las 100 Solicitudes fueron enviadas dentro de un segundo. Esto ha ocurrido varias veces.

Mi sospecha ahora es que no hay más paquetes enviados porque el malware se dio cuenta de que los paquetes están bloqueados por el firewall. ¿Es esta una idea razonable o hay una explicación menos maliciosa para este comportamiento?

// El host cuestionable ejecuta Windows 7.

    
pregunta davidb 14.11.2016 - 17:13
fuente

1 respuesta

1

Escribí una secuencia de comandos que obtiene el certificado de todos los hosts que estaban listados en el firewall con TCP: RA al puerto 443. Los Resultados mostraron que aproximadamente el 70% de los hosts tenían certificados para *.dropbox.com y para alguna otra nube. soluciones Al parecer, los servidores han restablecido la conexión de estos clientes mediante el envío de un paquete con el conjunto de indicadores RST que terminó el estado en el firewall. El firewall luego bloqueó la respuesta RST, ACK del cliente. Así que no hay malware en la mayoría de los casos. Un host fue realmente infectado.

    
respondido por el davidb 15.11.2016 - 13:04
fuente

Lea otras preguntas en las etiquetas