Mijn eigen Firewall logs hebben geen poortnummer laten zien
die in jouw logs staan. Het zou kunnen zijn dat er een
specifiek doel wordt gezocht, maar dat zou verder onderzocht moeten worden.

Poorten benaderen.. Ok.. De informatie die je geeft is erg summier en er is zo geen zinnig woord te zeggen over wat er eventueel aan de hand zou kunnen zijn.

Zijn deze poorten source of destination? Met welke flags (SYN, RST, ACK, SYN/ACK)? Source/destination IP adressen?

Raar patroon inderdaad... Mijn eerste ingeving was een of
andere p2p client...

Het kunnen ook antwoorden zijn van eerdere connecties die op een of andere reden opnieuw verzonden zijn (meestal vanwege time-outs). De statetable van de firewall "ziet" de tweede pakketjes en kan er geen uitgaande verbinding aan koppelen (omdat er al een eerder antwoord is geweest) en dropt het verkeer. Vandaar dat de flags handig zijn om te weten en welke source/destination poorten gebruikt zijn. Ingress of egress etc.. Nu is het alleen maar giswerk..

Hmm, als ik binnenkort een gevalletje waterschade heb ga ik
niet langs unit10. Jullie hebben duidelijk weinig kaas
gegeten van netwerkbeveiliging.

Dat wortdt toch lastig als jullie de identiteit van een
digitale crimineel moeten achterhalen.

Een inhoudsloze reactie gebasseerd op: ???

Het getuigt niet van veel kennis door deze vraag (publiekelijk) te stellen. Ik
weet het antwoord ook niet, maar je krabt nu toch wel even achter je oren
bij het niveau van Unit 10.

Gebaseerd op de gestelde vraag en het werkvlak van unit10,
aangevuld het gebrek aan informatie die in de vraag gegeven
is, en niet bekend zijn met de algemene informatiebronnen
waarop scan activiteiten terug te vinden zijn.

Maar om toch wat behulpzaam te zijn:

Wat is het source IP-adres?
Wat is de source poort?
Waarop baseer je dat het scans zijn?
Heb je al gekeken op sans.org of er verhoogde activiteit
bekend is vand eze poorten?
Heb je gekeken of er vulnerabilities bekend zijn voor de
specifieke poorten?

PS. Leuk om te lezen dat andere forum lezers het met me eens
zijn :-)

Het voegt helaas zo weinig toe aan de vraag/discussie. ( :-) )

Dat maakt niet uit. Je mag toch iets constateren en dat hier melden?

Jammer van al die reacties die geen bijdrage leveren aan
een antwoord op de vraagstelling, anoniem reageren is
zinloos en laf, het bevordert de discussie op inhoud op dit
forum ook niet.... jammer

Op basis van de door mij verstrekte informatie een conclusie
trekken over deskundigheid vind ik erg knap. De bedoeling
van dit forum is informatie over security delen, mijn enige
vraag was of er andere forumgebruikers zijn geweest die
soort gelijke patronen hebben waargenomen rond 13 april
2007. Als ik het over mogelijk een botnet heb en een
gedistriubeerde poortscan dan is de vraag wat het source
adres is dus overbodige vraag. De overige tegenvragen zoeken
een richting naar een antwoord over wat hier aan de hand zou
zijn geweest, maar dat is niet aan de orde, ik meld slechts
het patroon wat ik heb waargenomen en vraag of er meerdere
forumleden zijn die dit in hun IDS of andere logging hebben
gezien, that's all.

T.a.v. SirDice: het betrof een UDP scan op deze destination
poorten, de source poorten waren zeer divers en zonder een
bepaald patroon. De scan is uiteindelijk gestopt op dest
port 5747.

Groet Huub, [url=http://unit10.nl]Unit 10[/url]

UDP zou dan kunnen wijzen op P2P.. Sniff het verkeer, daar
kun je meestal wel iets meer uit opmaken.

[quote][i]Door Huub Roem[/i]
[b]Jammer van al die reacties die geen bijdrage leveren aan
een antwoord op de vraagstelling, anoniem reageren is
zinloos en laf, het bevordert de discussie op inhoud op dit
forum ook niet.... jammer[/b]
[quote]

Nou, en bedankt dan maar, ik geloof dat ik in dezelfde strekking mijn
reacties heb geplaatst (Een inhoudsloze reactie gebasseerd op: ???, Het
voegt helaas zo weinig toe aan de vraag/discussie. ( :-) )). Omdat ik geen
zin heb om mij in te loggen ben ik dus simpelweg laf?

Huub,

Je hebt helemaal gelijk. (Behalve over het laf zijn als je
anoniem reageert)

Ik geef toe dat ik iets te bot was met mijn opmerking,
daarvoor mijn excuses.