Merkwürdige iptables Einträge

  • Hallo,


    ich habe seit gestern Abend komische Einträge in meinen Firewall Logs auf einem Debian V-Server. Bis jetzt konnte ich dort alle geblockten Verbindungen sehen. Seit gestern Abend habe ich dort aber einträge von Verbindungen die mit meinem Server garnichts zutun haben. Also weder bei DST noch bei SRC steht meine IP. Bei SRC stehen immer drei verschiedene netcup IPs und bei DST steht immer der Broadcast Server mit 255 am Ende. Diese Anfragen komme mehrmals pro Sekunde und produzieren so ziemlich große Logfiles über die ich keinen Überblick mehr habe.
    Nun wollte ich wissen wie diese Verbindungen zustande kommen, wenn sie doch garnichts mit meiner IP zutun haben? Von der Anzahl der geblockten Pakete würde ich auf mehrere gehackte netcup Server tippen die grade für DDoS verwendet werden, sind ja 3 oder 4 verschiedene... Aber wiese steht dann bei DST nicht meine IP sondern die IP des Broadcast Servers?


    Danke schonmal für eure Hilfe!

  • Es wäre hilfreich, wenn Du uns ein paar Beispiele aus dem Log zeigst. Die IP-Adressen kannst du dabei ja anonymisieren.


    Prinzipiell ist es keine gute Idee, jedes geblockte Paket zu protokollieren, völlig ohne Limit. Welche Regel verwendest Du bisher dafür?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ich weiß nicht was für dich ein Boardcast-Server ist aber ich möchte es kurz erläutern was du eigentlich meinst: Du redest von einer Boardcast-Adresse wenn du dein Log postest, könnte ich dir sogar sagen was du wirklich versuchst zu beschreiben. Du hast in jedem IP-Berreich eine Boardcast-Adresse, wenn du ein Paket an diese Adresse adressiert wird es an alle Hosts gesendet die sich in dieser Boardcast-Domäne befinden. Es kann durch aus sein das diese drei Server entweder falsch konfiguriert sind, aus dem Ruder laufen oder gezielt für Angriffe genutzt werden.


    Wie bereits Killer schrieb, poste doch bitte einen Ausschnitt :)

  • Danke für die schnellen Antworten. Hier sind meine Logs. Die IPs sind alle nicht von mir ich habe aber trotzdem die Server, die den Spam verschicken anonymisiert. Das sind die Pakete, die innerhalb 3 Sekunden hier ankommen.


  • Ist tatsächlich ARP. "Who has 188.68.49.XXX? Tell 188.68.48.XXX". Aber wieso kriege ich die erst seit ein paar Tagen so heftig ab? Hatte ich vorher nicht. Sind das falsch konfigurierte Server? Oder habe ich vielleicht eine falsche Einstellung in meiner Firewall und sollte diese Pakete durch lassen?