shell$ host 17.10.13.204
204.13.10.17.in-addr.arpa domain name pointer spoofed-src-frm-outside-apple.apple.com
Recentemente, notei um endereço IP que vem sendo exibido em nossos registros do SonicWall com bastante frequência. Ao longo de um dia normal, veremos cerca de 100 pacotes descartados originados em 17.10.13.204, que estão em um bloco de IPs registrados para a Apple. Aqui está um exemplo:
Apr 26 12:59:47 id=firewall sn=0017C5107A2C time="2011-04-26 12:59:47" fw=X.X.X.Y pri=1 c=32 m=179 msg="Probable TCP NULL scan detected" n=0 src=17.10.13.204:48225:X1 dst=X.X.X.Z:80 note="TCP Flag(s): None"
Eu não estou muito preocupado - é apenas uma varredura TCP NULL, e eles estão apenas atingindo especificamente a porta 80 em apenas alguns de nossos muitos endereços IP. Dito isso, ainda estou muito curioso sobre o que está acontecendo:)
Eu pesquisei um pouco no WRT sobre esse endereço IP e não encontrei muito mais do que os arquivos de log de outras pessoas. Apenas um um post parecia se destacar, mas tinha alguns meses de idade e não ganhou muita tração .
Alguém mais vendo TCP NULL varre desses caras? Não tenho certeza de quanto tempo isso está acontecendo, já que só tenho alguns meses de registros arquivados. Eu ficaria curioso para saber se isso é uma coisa relativamente recente, ou se está acontecendo há algum tempo.
Isso está em andamento há meses. Eu relatei esse tráfego para a Apple em novembro de 2010 e ainda estou vendo isso. Eu não acho que isso é um DoS porque seria muito simples parar no final da Apple. Tudo o que eles teriam que fazer é bloquear os pacotes RST para seu IP ou apenas bloquear todos os pacotes que chegam a esse IP. O IP tem sido o mesmo desde que começou. Bloqueei em nossa camada de roteamento de borda, mas ainda estou registrando a queda para que eu possa confirmar se ainda está em andamento.
A melhor maneira de descobrir isso é envolver o ISP e começar a rastrear esse tráfego de volta à sua origem. Eu estou pensando que isso é um erro de configuração de algum tipo.