Also Nullrouten sollte dann aber so auch genannt werden, nur hier steht es anders, auch wurde einmal der TS angegriffen zu erkennen am Port 9987 und einmal der Remote Desktop zu erkennen am port 3389. Unten habe ich 2 Ips der Angreifer aufgelistet, die jetzt sowieso nicht mehr verfolgbar sind.
Guten Tag .............,
vor wenigen Minuten fand ein massiver Angriff auf Ihr Produkt vxxxxxxxxxx statt, der erhebliche Netzwerkressourcen beansprucht hat und zu einer starken Beeinträchtigung unseres Netzwerks führte.
Wir mussten aus diesem Grund die IP-Adresse xxx.xx.xx.xxx Ihres Servers sperren.
Wir prüfen in regelmässigen Abständen, ob die Angriffe nachgelassen haben. Sobald dieses passiert ist, werden wir die IP-Adresse xxx.xx.xx.xxx wieder freischalten.
Hier finden Sie Logauszüge, die den Angriff darstellen:
Direction: IN
Destination IP: xxx.xx.xx.xxx
Threshold Packets: 30000 packets/s
Sum Packets: 300411600 packets/300s (1001372 packets/s)
Angriff 1:
Sum Bytes: 90.7 GByte/300s (2.42 GBit/s)
Src IP Addr:Port Dst IP Addr:Port Proto Packets Bytes
27.188.9.246:51488 -> xxx.xx.xx.xxx:9987 UDP 150 53850
Angriff 2:
Src IP Addr:Port Dst IP Addr:Port Proto Packets Bytes
189.94.228.240:3389 -> xxx.xx.xx.xxx:3389 TCP 150 6000
Alles anzeigen