Phantom-Pakete oder neue, unbekannte Scan-Verfahren, oder …?



  • Gegeben: PfSense: 1.2.3-RELEASE auf einem dedizierten Rechner.

    <internet>- [Fritzbox] - [PfSense] - <lan>|
                                            <dmz>- [Server] (Ubuntu Server 10.04)

    Auf dem Server läuft ein Mumble-Server und ein Tor-Relay (Listen-Port: 443).
    Sporadisch tauchen im Log folgende Einträge auf, die so eigentlich nicht vorkommen dürften:

    http://ubuntuone.com/p/ASd/

    Im Rohformat sieht das so aus:

    http://ubuntuone.com/p/ASe/

    Blockiert werden die Pakete durch die Default-Rule. Das Tor-Relay kann nur ausgehende Verbindungen mit Quellport > 1023 aufbauen (festgelegt durch eine IPTables-Regel). Die NAT, bzw. Firewall-Regeln der DMZ sehen so aus:

    http://ubuntuone.com/p/ASb/
       http://ubuntuone.com/p/ASc/

    Die erste Regel habe ich nur zu Testzwecken hinzugefügt, um mehr über diese Pakete zu erfahren. Sie führt aber nie zu einem Logeintrag.
    Auch mit speziellen IPTables-Regeln auf dem Server habe ich diese angeblich ausgehenden Pakete mit Quellport 443 nie 'fangen' können.

    Hat jemand eine Idee, was sich dahinter verbergen könnte?

    Vielen Dank im voraus.</dmz></lan></internet>


Log in to reply