¿Qué dura 21 segundos en Google? Análisis de patrones

-2

Soy un poco nuevo en seguridad de TI y estoy analizando algunos flujos.

Las únicas informaciones que tengo son: * ip dst * marca de tiempo * puerto dst * Números de fuentes y flujos.

Noté algunos flujos sospechosos provenientes de ********* 1e100.net. Mis sospechas se basan en los hechos de que cada marca de tiempo está separada de los últimos 21 segundos exactamente, la dirección IP de destino es entonces diferente (pero no aleatoria, a menudo es la anterior ip + 1)

Esto concierne a 5 ou 6 siguientes flujos, luego se detiene pero vuelve unos minutos después (no hay patrón aquí). Los puertos de destino pueden ser 80 o 443. Cuando el puerto = 80, fuente = 1 y flujos = 1 o 2. Cuando el puerto = 443, fuente = 1 y flujos = 2 o más.

No tengo ni idea de lo que puede ser y ya debería disculparme por mi nivel de inglés.

¡Gracias por tu ayuda!

    
pregunta Ezay 31.03.2015 - 16:00
fuente

1 respuesta

2

Respuesta corta: Sus flujos están identificando cualquier tráfico a cualquier servidores operados por Google en Internet.

Respuesta más larga:

Lo que dice enlace de quack está diciendo que cada pertenece a Google La dirección IP se resuelve en el dominio 1e100.net.

$ dig +short www.google.com
74.125.239.52
74.125.239.48
74.125.239.49
74.125.239.51
74.125.239.50
$ dig +short -x 74.125.239.52
nuq04s19-in-f20.1e100.net.

Su pregunta sobre qué está causando esto: con la información que ha proporcionado puede ser cualquier cosa que contacte a los servidores de Google.

Casi todas las páginas web tienen Google Analytics instalado, gmail, google search, google appengine, blogspot y google compute son servicios operados por google, y algunos de ellos ejecutan software instalado por cualquier persona (blogspot, appengine, compute) .

Dándonos 1e100.net es equivalente a decir . Me di cuenta de que algo en mi red estaba contactando a Internet, e Internet es sospechoso. ¿Puedes ayudarme a averiguar de qué se trata ? No con la información que proporcionaste.

Si desea interceptarlo, desactive 80 & 443, instale squid (transparente, SSL MITM) y observe qué sistemas están haciendo realmente.

Otra forma más rápida y más laboriosa es vigilar sus solicitudes de DNS. Comience a rastrear a qué nombres de dominio (nombres de host) están llamando los sistemas, y asignarlos a las direcciones IP que invierten la búsqueda al * .1e100.net que le interesa.

Es DNS

  

pero no aleatorio, a menudo es la ip anterior + 1

Así es como los sistemas usan los resultados de DNS que tienen más de una IP para el nombre de host. Consulte mi consulta de DNS anterior para google.com: se devolvieron 5 IP y mi sistema usará el primero, luego el segundo, luego el tercero y luego ... obtendrá el punto.

    
respondido por el Jonathan 31.03.2015 - 16:55
fuente

Lea otras preguntas en las etiquetas