Aktuell laufen TCP Christmas Tree Attacks (29.2.2019)

Publiziert am 29. Februar 2020 von Günter Born

Kurzer Hinweis für Admins von Firmennetzwerken. Aktuell scheinen sich wieder sogenannte Christmas Tree Attacks über TCP zu häufen. Könnte sich irgend etwas mit Internet zusammen brauen.

Anzeige

Thomas B. hat mich heute per E-Mail auf eine entsprechende Beobachtung aufmerksam gemacht. Er schrieb mir:

TCP Christmas Tree attacks

solche

02/28/2020 09:41:35 267 Security Services 
Alert 66.225.225.225, 42905, X1 178.27.108.16, 443 tcp
TCP Flag(s): PSH SYN
TCP Xmas Tree dropped

Angriffe auf Port 80 und 443 laufen seit einigen Tagen massiv auch von anderen IP Adresse weltweit. In einigen Foren ist das auch bereits seit 14 Tagen aufgefallen. Möglicherweise wird da etwas im großen Stil vorbereitet?

In der Vergangenheit fällt so was ab und zu mal auf, bleibt aber ein Einzelfall. Seit Tagen sehe ich das auf Firewalls latent.

Bei einer Forensuche bin ich beispielsweise auf diesen Spiceworks-Eintrag vom 11. Februar 2020 gestoßen:  

Lots of "TCP XMAS Tree Dropped" messages, should I be concerned?

Hi everyone. I'm entry level IT and still learning the ropes, so excuse what might be an easy question.

I like reading the SonicWall log emails we get that detail the goings and comings in our network and have been noticing quite a few "TCP Xmas tree dropped" logs.

There will be about 7-9 in a single log email, all in a row.

The first time I noticed it, yesterday, the IP address was coming from Virginia, US. Later in the day, we had some but this time coming from a Netherlands IP address. Later, we had a lot but this time coming from a Swedish IP. And then today, we have the same coming from a Philippine IP address.

I've read a little about "Christmas tree packets" and how they're used but not exactly sure what's going on here and if we should be taking extra measures or just monitoring or something else.

Thanks!

Hinter dem Begriff Christmas tree packet verbirgt sich ein speziell gestaltetes TCP-Paket, welches zum 'Fingerprinting' genutzt werden kann, um die Möglichkeiten der TCP-Infrastruktur auszuforschen. In diesem Artikel hier heißt es dann auch: Ein Christmas Tree Attack ist ein sehr bekannter Angriff, der darauf abzielt, ein sehr spezifisch gestaltetes TCP-Paket an ein Gerät im Netzwerk zu senden. Keine Ahnung, was dahinter steckt – seht es einfach mal als Information. Wenn sich was zusammen braut, werden wir es schon erfahren.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.